Aplicatie Informatica Pentru Evidenta Activitatii Unei Firme de Comert

1. Comerțul electronic – aspecte generale

Termenul de „comerț electronic” (e-comerț) este din ce în ce mai mult discutat pe măsura ce Internetul apare ca un mediu viabil pentru desfășurarea acțiunilor de comerț. Acest lucru s-a întâmplat mai mult în ultimi cinci ani datorită popularității din ce în ce mai mari pe care Internetul o cunoaște.

Totuși originile comerțului electronic se găsesc mult mai departe în timp, chiar mai departe 1980 când termenul de "electronic data interchange" (EDI) face senzație pe scena economică din acele timpuri.

Mai mult, dezvoltarea rapidă a infrastructurii comunicațiilor și calculatoarelor în ultima jumătate a deceniului a fost mai mult decât impresionantă, având o influență enormă asupra viitorului comerțului electronic.

Prețurile tehnicii de calcul au scăzut într-un ritm galopant în ultimele două decade, devenind un lucru pe care toată lumea și-l poate permite. Sistemele de operare și software-ul au devenit mai puternice și ușor de folosit devenind top mai tentante pentru domeniul afacerilor.

Totuși, efortul depus pentru asigurarea compatibilității în scopul facilitării schimbului de date a trecut în cea mai mare parte neobservat. De cea mai mare importanță este efortul depus pentru standardizarea interfețelor dintre diferite platforme.

Procesul de standardizare denumit Open System Integration nu trebuie să fie confundat cu International Standards Organisation (ISO), care ratifică aceste standarde. Disponibilitatea tehnicii de calcul și a standardizării a fost foarte importantă deoarece multe companii au văzut oportunitatea de a lega computerele între ele pentru a înlesni procesul de comerț.

Termenul de e-commerce trebuia încă inventat, dar reprezintă în esență țelul pe care acele companii încercau să îl atingă. Cea mai importantă realizare urma să fie elaborarea de formate comune pentru sistemele de mesagerie de care era nevoie pentru a realiza schimbul de date între comunitățile de afaceri.

Ca rezultat, au fost create pachete de standarde atât Americane cât și europene pentru a defini caracteristicile ce trebuiau îndeplinite de câtre sistemele de mesagerie. Au existat proiecte pilot cum ar fi DISH și SHIPNET în industria transporturilor navale, dar nu toate au fost încoronate de succes în termeni comerciali, totuși au contribuit la promovarea acestui subiect. Astfel de sisteme pentru comunitățile portuare au fost create și în Europa ca de exemplu Felixstowe, Southampton, și Rotterdam.

În jurul anilor 1980 multe alte rețele interne (VAN) au fost create pentru a crea legături de comunicare sigure în interiorul diverselor companii și afaceri.

Constituirea de numeroase asociații cum ar fi: Electronic Commerce Association, The European Electronic Messaging Association, Data Interchange Standards Association și Electronics Industry Data Exchange Association a impulsionat și contribuit la crearea unor sisteme de mesagerie care să corespundă cerințelor impuse de diferite sectoare din industrie.

Pe măsura de diferite proiecte în domeniu erau implementate, la începutul anilor optzeci, așteptările față de rețelele EDI începeau să crească. La fel ca și în cazul creșterii pe care Internetul o cunoaște astăzi, mulți analiști s-au grăbit și au făcut predicții ale unor creșteri fără precedent pe care acest tip de rețea avea să le cunoască, astfel încât numărul utilizatorilor avea să se dubleze anual, iar nici o afacere nu își va putea permite să rămână pe dinafară.

Totuși, în ciuda predicțiilor încurajatoare, doar unu la sută din potențialii utilizatori ai acestui tip de rețea au ajuns să o folosească. Astfel masa critică necesară pentru a provoca explozia rețelelor EDI nu a fost niciodată atinsă.

Cele mai importante motive care au dus la insuccesul acestui proiect au fost: ciclul lung necesar pentru dezvoltarea standardelor necesare, faptul că potențialii utilizatori au privit EDI ca fiind prea complicat de înțeles și faptul că majoritatea rețelelor EDI implementate nu au reușit să aducă un profit notabil.

Declinul rețelelor EDI, le-a împins pe acestea în umbră. Între timp alte standarde cum ar fi International Telecommunications Union (ITU) X.400 pentru mesagerie electronică (e-mail) au fost lansate.

Între timp popularitatea, a cea ce este cunoscut astăzi sub numele de Internet a atins cote ridicate. Seminarii, expoziții, cărți, reviste, ziare toate promovau acest nou mediu de dezvoltare. Internetul era peste tot iar EDI-ul se zbătea în obscuritate.

Producători importanți de software au sprijinit dezvoltarea Internetului. World Wide Web-ul (WWW) oferea facilități grafice pentru publicarea documentelor. Poate unul dintre cei mai importanți factori în dezvoltarea Internetului o reprezintă gama mare de soluții de mesagerie rapida pe care acesta le oferea. Alt fapt surprinzător este că standardele folosite în cadrul Internetului funcționau în ciuda faptului că nu toate fuseseră ratificate de organismele de standardizare. Acest lucru a avut o contribuție importantă la creșterea Internetului.

Un alt factor important este acela că mediul de afacerii începe să vadă Internetul că un mijloc de schimbare a informațiilor de afaceri, în ciuda lipsurilor pe care acesta le are în domeniul securității și integrității datelor. Totuși utilizatorii înțeleg aceste limitări și încearcă să le facă față în cele mai bun mod posibil.

Dezvoltarea standardelor și comunicării continua și se așteaptă să ducă în continuare îmbunătățiri modului în care afacerile sunt desfășurate în zilele noastre. Astăzi există o mulțime de opțiuni în cea ce privește comunicarea, rețele de telefonie, rețeaua Internet, comunicarea prin satelit și comunicațiile mobile. Un factor cheie în modul de desfășurarea a afacerilor Internetul oferă în același timp premizele creării unui nou mediu de afaceri, crearea unor noi soluții de comerț, comerțul on-line.

1.1. Ce este comerțul electronic

Brusca apariție și avântul comerțului electronic schimbă lumea afacerilor, amenințând existența nu mai a unor firme ci a întregi industrii. Unele industrii au fost obligate la restructurări puternice în timp ce alte noi afaceri și alte căi de a conduce vechile afaceri se dezvoltă. Acest nou mediu de afaceri este în același timp înspăimântător ca și ofertant de noi oportunități.

O componentă importantă în definirea comerțului electronic o reprezintă mediul în care acesta are loc și anume Internetul. Internetul este o rețea mondială de zeci de mii de computere de mare capacitate, conectate între ele. Persoane particulare și oameni de afaceri intră pe Internet prin intermediul unui furnizor local de servicii Internet, care oferă astfel accesul la poșta electronică (e-mail) și la sistemul de informare " www" (World Wide Web) precum și la multe alte categorii de servicii informaționale. Internetul oferă potențialilor clienți posibilitatea de a "vizita" afacerea pe "Web" și să analizeze ofertele on-line de produse și servicii ale firmelor.

O multitudine de firme utilizează Internetul pentru publicitate. Marketingul prin Internet este o oportunitate pentru a crea imaginea unei firme și pentru a atrage clienții. Firmele furnizează informații tehnice și utilizează pagina de Web ca o platformă pentru mediatizarea noutăților ce apar în cadrul firmei. Folosind propriul Website ca pe un magazin, ele oferă produse și preiau comenzi.

Poate din cauza incertitudini și vitezei cu care se schimbă aceste mediu, există foarte puțină îndrumare strategică disponibilă oamenilor de afaceri pentru ai ajuta să se descurce în acest teritoriu neexplorat. Există puține lucrări de relevanță și o mulțime de teorii și curente cu privire la acest nou mediu de afacerii.

Din acest punct de vedere încercarea de a defini comerțul electronic nu ar avea un rezultat concret. Primele intenții de a definii comerțul electronic au fost făcute din nevoia de a legifera comerțul electronic, cum ar fi de exemplu definiția elaborată de Parlamentul European și publicată în Directiva 31/2000 a Comisiei Europene cunoscute și sub numele de „Directiva asupra comerțului electronic”. În afară de aceasta la ora actuală există o multitudine de definiții ale comerțului electronic:

„ … cumpărarea și vânzarea bunurilor și serviciilor pe Internet, în special cu ajutorul World Wide Web-ului. În practica acesta și un nou termen „e-business” sunt adesea folosiți ca sinonime. Pentru vânzarea on-line cu amânuntul termenul „e-tailing” este folosit câteodată.”

(www.whatis.com)

„… aplicarea integrală a tehnologiei informațiilor și comunicațiilor la început și până la finalul întregului lanț de valori a procesului de afaceri ce are loc electronic și are ca scop obținerea de profit. Aceste procese pot să fie parțiale sau complete și de asemene pot să fie tranzacții business-to-consumer sau business -to-business

(Wigand, 1997)

„În definiția sa simplă comerțul electronic este un mijloc electronic folosit pentru a face tranzacții de afaceri… Pe măsura dezvoltării tehnologiei și a folosirii Internetului pe scară largă, comerțul electronic a ajuns să se refere la o gamă mai largă de mijloace de afaceri cum ar fi: e-mail, Web-situri informaționale, cataloage on-line comenzi de bunuri și serviciu prin Internet, livrarea directă de produse și alegerea caracteristicilor produsului… Cele mai răspândite forme de comerț electronic sunt:

Business to Business – o afacere vinde către altă afacere;

Business to Consumer – o afacere vinde unui consumator;

Business to Government – diverse firme licitează pentru programe guvernamentale;

Consumer to Consumer – consumatorii vând altor consumatori prin intermediul unor site-uri de licitații.

(www.wvebiz.com)

„… efectuarea de tranzacții financiare prin mijloace electronice. Odată cu creșterea comerțului în cadrul Internetului, noțiunea de comerț electronic se refera la cumpărarea din magazine on-line. Comerțul electronic poate fi: business to business (afacere la afacere) și business to consumer (afacere la consumator).

(www.straight-on.com)

„…folosirea tehnologiei informaționale pentru a facilita vânzarea și cumpărarea bunurilor și serviciilor între partenerii de afaceri.”

(Bathia,1999)

Pentru unele firme, comerț electronic înseamnă orice tranzacție financiară care utilizează tehnologia informatică. Pentru altele, noțiunea de comerț electronic acoperă circuitul complet de vânzări – inclusiv marketingul și vânzarea propriu-zisă. Mulți oameni consideră comerțul electronic ca fiind orice tranzacție comercială condusă electronic pentru cumpărarea unor produse cum ar fi cărți, CD-uri, bilete de călătorie și altele. Dar, comerțul electronic are, în sens larg, un impact mult mai profund asupra evoluției afacerilor și cuprinde, în fapt, nu numai noile achiziții comerciale ci și totalitatea activităților care susțin obiectivele de marketing ale unei firme și care pot include, spre exemplu, publicitate, vânzări, plăți, activități post-vânzare, servicii către clienți, etc.

Ca urmare, s-a lărgit gama de servicii care sprijină și acordă asistență acestui nou domeniu al afacerilor. Aceste servicii se referă la furnizorii de Internet, la sistemele de securitate și semnăturile electronice, la tranzacțiile on-line sau rețelele de magazine, precum și la serviciile cu caracter general, cum ar fi consultanța, designul de pagini Web, elaborarea site-urilor, etc.

Această evoluție are un impact major asupra economiei, în ceea ce privește crearea de noi întreprinderi, diversificarea celor existente și, în special, asupra potențialului pieței, forței de muncă și a gradului de ocupare a acesteia în viitor. Datorită acestei diversități a condițiilor de piață ce cuprinde un mare număr de furnizori de servicii și care este într-o permanentă schimbare, se impune ca o necesitate punerea la dispoziția întreprinderilor și în special a întreprinderilor mici și mijlocii, a unei "surse" unde să găsească sprijinul adecvat pentru aplicarea soluțiilor comerțului electronic în activitatea proprie.

Industria comerțului electronic face, în general, diomerțului electronic face, în general, distincție între tranzacțiile Business-to-business (B-2-B sau BTB), tranzacțiile Business-to-consumer (B-2-C sau BTC) și tranzacțiile User-to-User:

B-2-B cuprinde toate tranzacțiile ce se efectuează între doi sau mai mulți parteneri de afaceri. Aceste tranzacții se bazează, de obicei, pe sisteme extranet, ceea ce înseamnă că partenerii de afaceri acționează pe Internet prin utilizarea de nume și parole pentru paginile de Web proprii. Acest tip de comerț electronic se împarte în 2 clase:

Tipul (B2Bi) este cazul în care există un contract de parteneriat între întreprinderi, un exemplu în acest sens fiind o aplicație pentru un lanț de desfacere;

Tipul (B2M2B) este cazul unui e-MarketPlace care se interpune între cele două afaceri, deci existența unei piețe electronice în care interacționează mai mulți cumpărători și mai mulți furnizori.

B-2-C se referă la relațiile dintre comerciant și consumatorul final, fiind considerat comerț electronic cu amănuntul. Acesta se împarte în:

User-to-Business (U2B) Este cazul general în care un utilizator (intern sau extern) interacționează asupra datelor și tranzacțiilor unei întreprinderi. În caz particular se poate aplica la o întreprindere care oferă servicii sau bunuri care nu pot fi prezentate și vândute prin catalog. Poate fi văzut ca acoperind toate interacțiunile de tip User-to-Business care nu sunt acoperite de modelul User-to-Online Buying.

User-to-Online Buying (U2OB) Este folosit pentru a descrie un caz special (un subset al modelului User-to-Business) în care bunuri sunt vândute printr-un catalog folosind un card de cumpărări, un portofel, etc. Acest model include ambele cazuri de consumatori: care cumpără bunuri și care se aprovizionează de la un singur furnizor. Poate cuprinde legături cu sisteme de gestiune, de verificare de cărți de credit, de livrare etc.

U-2-U Descrie cazul colaborării diferiților utilizatori prin intermediul documentelor partajate, prin intermediul e-mail, etc.

Alte relații stabilite prin intermediul rețelei Internet, adiacente comerțului electronic, sunt: government to government (G2G), government to business (G2B), government to consumer (G2C), consumer to government (C2G), consumer to business (C2B) si fiind sintetizate in tabelul de mai sus.

O nouă opțiune în comerțul electronic este tranzacția Business-to-Employee (B-2-E), care se referă la tranzacțiile din interiorul unei firme, destinate personalului angajat al firmei și efectuate prin sistemul intranet propriu.

În tranzacțiile comerciale clasice se disting patru etape diferite:

informarea comerciala referitoare la tranzacție: cercetarea de marketing;

încheierea contractului comercial;

vânzarea produsului sau a serviciului;

plata produsului sau a serviciului;

În figura de mai jos este prezentat modul in care se reflecta aceste patru etape in cazul comerțului electronic:

Comerțul electronic este una dintre soluțiile complexe, "integrate", pe care le oferă tehnologia Internet. Aceasta înseamnă că o multitudine de aplicații și de furnizori de servicii Internet trebuie să conlucreze într-o sincronizare perfectă pentru ca un site de comerț electronic să poată funcționa. De multe ori o primă alegere – a unei aplicații sau a unui serviciu – presupune în mod automat o serie de opțiuni impuse: spre exemplu dacă alegi furnizorul X, acesta va impune aplicația Y iar firma care a executat achiziția nu va putea folosi aplicația Z.

1.2. Avantajele comerțului electronic

Tehnologia Internetului poate fi folosită pentru a transforma modul în care se desfășoară afacerile. Ea poate fi văzută ca un nou canal de desfacere, dar poate fi percepută și ca o nouă infrastructură, asemenea căilor ferate, oferind o gamă infinită de oportunități pentru noi inițiative. Figura alăturată reprezintă caracteristicile principalele ale tehnologiei Internetului și avantaje oferite de acestea pentru comerțul electronic și a afacerilor on-line.

INTERACTIVIATE

Dezvoltarea comunicării în masă de-a lungul secolului a adus o contribuție foarte importantă la modul în care informația era transmisă între oameni. Înaintea comunicării în masă transferul informației între oameni avea loc în cea mai mare parte prin intermediul tipăriturilor și a comunicării directe de la om la om. După acea procesul a fost automatiza și a fost posibilă transmiterea aceluiași mesaj către milioane de oameni instantaneu. Astfel sa născut mass-media. Marele dezavantaj al comunicării în masă era că fiecare individ primea același mesaj indiferent de dorința sa, gradul sau de cultură, dispoziție etc. Era vizibil că acest mijloc de comunicare avea mari neajunsuri în cea ce privește eficiența în a influența posibili clienți. Metode cum ar fi segmentarea și publicitatea țintită au fost evidențiate pentru a putea face față neajunsurilor acestui mod de comunicare. Din acest motiv mass-media nu s-a putut substitui niciodată celei mai vechi tehnici de vânzare, vânzarea directă.

Interactivitatea a fost menționată ca una dintre cele mai importante caracteristici care diferențiază Internetul de oricare alt mijloc mediatic. Interacțiunea dintre grupurile de persoane și organizații este acum posibilă fără nevoia ca un om să asiste la această interacțiune, aceasta putând fi efectuată de computer.

Adaptarea în masă la client (Mass-customization)

Interactivitatea Internetului are ca rezultat un nivel mai mare de implicare din partea utilizatorului. Interactivitatea este un factor esențial pentru adaptarea comunicării la cerințele fiecărui client, să se producă la o scară foarte mare, aducând astfel costurile acestei adaptări la un nivel rezonabil.

UTILIZATORI CU INIțIATIVă

La început, Internetul avea o structură democratică. Conținutul său a fost format de către comunitățile virtuale fie ele academice sau de altă natura și indivizi a căror scop principal era schimbul de informație. Internetul privit din punctul de vedere a unui canal de comunicare diferă de celelalte canale existente la ora actuală prin faptul că nu poate fi folosit (cel puțin nu încă) pentru comunicare în masă (la nivelul la care poate fi folosită televiziunea de exemplu). Faptul că utilizatorii Internetului, sunt mult mai activi și orientați spre îndeplinirea scopurilor comparativ cu utilizatorii altor canale de comunicare, reprezintă o caracteristică importantă pentru agenții economici

Marketing de atragere

Inițiativa utilizatorilor de Internet este un avantaj pentru firmele care știu cum să o folosească, dar poate fi de asemenea un handicap pentru celelalte. Acest lucru impune firmelor să treacă de la strategiile de împingere a consumatorului (push strategies) la cele de (a)tragere a acestuia (pull strategies). Marketeri trebuie să ofere consumatorului motive pentru a vizita site-ul lor și de a cumpăra din acesta, adică de a folosi strategii de atragere. În contrast cu acestea reclamele de la televizor, radio și ziare, în general încearcă să influențeze decizia de cumpărarea a unui produs sau serviciu cea ce se materializează într-o strategie de împingere a consumatorului spre a cumpăra produsul respectiv. Un consumator pe Internet nu poate fi forțat să viziteze un site anume și nici nu va vizita un site mai mult de două ori dacă acest nu îi oferă destule motive pentru ai câștiga loialitatea.

Din punctul de vedere a numeroși specialiști, afacerile on-line progresează într-o direcție care în curând va răsturna balanța în favoarea consumatorului. Aceste atribute care fac Internetul distinct vor oferi puterea consumatorului (consumer power). Mulțumită accesului, din ce în ce mai mare la informație consumatori au potențialul de a fi mai bine informați înainte de a lua decizia de achiziție a unui produs sau serviciu. Găsirea și compararea produselor de pe piață la un moment dat, are loc aproape instantaneu cu ajutorul noilor instrumente digitale, cea ce face ca ofertanții să concureze direct unul cu celalalt.

Implicarea mare pe care o au cumpărătorii on-line și înclinația de a fi mult mai atenți la cea ce cumpără (datorită riscului încă mare al afacerilor on-line), este un aspect care modifică balanța puterii în favoarea consumatorului. Consecința unei puteri crescute a consumatorului, este că metodele tradiționale de marketing nu mai sunt de încredere. Practica uzuală prin care vânzătorul își caută cumpărătorul necesită o ajustare deoarece în cazul comerțului on-line , datorită caracterului interactiv al Internetului se ajunge la situația în care cumpărătorul își caută un ofertant. O concluzie logică scoate în evidență faptul că din această cauza companiile on-line trebuie să fie din ce în ce mai atractive. Firmele care operează în acest mediu trebuie să concureze între ele pentru atractivitate.

ACCESIBILITATE NON STOP

Spre diferență de canalele obijnuite mass-media, Internetul prin disponibilitatea lui nonstop oferă o versatilitate mai mare în folosirea lui ca mediu de afaceri și publicitate.

Pentru produsele cu caracter informatic, cum ar fi de exemplu produsele software, Internetul reprezintă și un canal de distribuție (prin descărcarea lor de pe site-ul companiei) mondială.

Cerere mai mare de produse și servicii

Magazinele on-line pot și trebuie să fie deschise non stop, în fiecare zi a săptămâni. Un motiv major pentru ca oamenii să tranzacționeze în cadrul Internetului este disponibilitatea foarte mare a acestuia, permițând consumatorului și cumpere când îi este lui mai prielnic. La aceasta se adaugă faptul că tranzacția se efectuează într-un timp foarte scurt, iar următorul magazin on-line se află la câteva cliku-ri distanță. De asemenea disponibilitatea mare a Internetului face posibilă și oferirea de servicii post (consultanta tehnica) vânzare nonstop.

ACCES GLOBAL

Internetul este o structură care acoperă întreaga lume. La fel ca televiziunea și radioul, rata penetrării variază în diferite zone de pe glob datorită diferentelor culturale, economice și politice. În momentul actual, majoritatea accesului la Internet se face printr-o infrastructura deja existentă, cea telefonică.

Prezența pe piața internațională

Aproximativ 240 milioane de oameni din toată lumea au acces la World Wide Web (WWW). Indiferent de obiectul de activitate, nici o companie nu își poate permite să ignore 240 milioane de oameni și potențiali clienți. Cu atât mai mult nici o firmă nu își poate permite să abandoneze această piață în favoarea concurenței. Pentru a face parte din această comunitate și pentru a arăta că sunt interesați să-i oferiți produsele și serviciile lor, companiile sunt obligate să își extindă afacerea pe Internet, în timp ce firme noi profită de acest avantaj pentru a sări peste anumiți pași în dezvoltarea afacerilor tradiționale, cum ar fi prezența întâi pe piața locală și națională pentru a ajunge pe cea internațională.

Utilizatorii Web-ului reprezintă probabil cea mai extinsă piață demografică disponibilă: studenți, absolvenți de liceu sau universitate, cei cu salarii mari sau cei care sunt pe punctul de a realiza venituri mari. Astfel Internetul oferă clienți indiferent de produsul sau serviciul oferit.

Barierele care există și apar împotriva comerțului electronic se împart în două mari categorii barierele interne, reprezintă acele neajunsuri de care comerciantul se lovește individual și bariere externe formate a acele probleme ale comerțului electronic care există individual de voința comerciantului și la sacra mare fiind datorate factorilor culturali, economici și politici.

Identificarea barierelor ce apar în comerțul electronic pornesc de la cerințele pe care un consumator trebuie să le îndeplinească pentru a face comerț electronic. Primul lucru pe care consumatorii trebuie să îl îndeplinească este să dețină un calculator. În al doilea rând să dețină o legătura la Internet și în al treilea rând să fie dispus să facă comerț on-line. Potrivit unui studiu Ernst & Young făcut în Septembrie 2002 asupra a 1363 consumatori, 41 de vânzători și 74 de producători doar 43% din familiile ce au participat la studiu dețin calculator, 52% dintre acestea poseda legătura la Internet și 38 % au cumpărat sau sunt dispuse să cumpere on-line. Aceasta înseamnă că numai 10% dintre cei anchetați pot și sunt dispuși să cumpere on-line. Acele familii care deși puteau să cumpere on-line nu erau dispuse să o facă, au furnizat ca principale motive teama de a divulga informații despre cărțile de credit și nevoia de a vedea produsul înainte de al cumpăra.

Barierele interne , în acest context, reprezintă acele probleme pe care cei care derulează comerț economic pot și trebuie să le rezolve. Potrivit aceluiași studiu Ernst & Young citat mai sus, îngrijorarea consumatorilor pentru securitate, dificultatea în facerea de legături cu alte procese de afaceri și lipsa de fonduri sunt principalele probleme cu care se confruntă proprietarii de afaceri electronice.

1.3. Clasificarea afacerilor on-line

Afacerile electronice nu mai sunt o alternativa ci sunt un fapt imperativ. Companiile Dot-com au preluat părți importante din piața, exercitând astfel presiuni puternice asupra companiilor ce desfășoară un comerț tradițional. Astfel multe companii se chinuiesc să găsească acel model de afacere on-line potrivit nevoilor lor. Companii din aceeași ramura, de aceeași mărime și din aceeași cultură găsesc soluții diferite la aceasta problema. Comerțul electronic pe Internet poate fi ori complementar cu afacerea desfășurată de companie până la acel moment ori fie să reprezinte o nouă afacere în sine.

Un model de afacere poate fi definit ca structura și acțiunile în funcție de care o organizație se manifesta în zona să de piața. Cu alte cuvinte un model de afacere reprezintă activitățile pe care acea afacere trebuie să le întreprindă. Paul Timmers definește un model de afacere ca „o arhitectura pentru produs, serviciu și informație, incluzând o descriere a diferiților actori de pe piața și a rolurilor acestora, precum și potențialele beneficiu ce pot fi obținute de aceștia.”

Construirea și implementarea de modele de afaceri on-line depinde foarte mult și de nivelul dezvoltării tehnologiei. Mulțimea de elemente ce contribuie la crearea modelelor de afaceri electronice (strategia de marketing a firmei, modul de interacțiune cu clienții, dezvoltarea tehnologiei) face ca numărul de modele de afaceri ce pot fi create să fie imens. Cu toate aceste în practica numai câteva dintre aceste modele sunt implementate, multe din aceste fiind în stadiul experimental, dar exista și soluții operaționale din punct de vedere comercial.

Din cauza numărului foarte mare al modelelor de afaceri on-line exista o mulțime de clasificări. Dintre aceste cele mai cunoscute sunt clasificările făcute de Paul Timmers și Michael Rappa.

1.3.1. Modelul Paul Timmers

Paul Timmers prezintă în lucrarea sa Electronic Commerce – Strategies and Models for Business-to-business Trading unsprezece modele de afaceri on-line care au fost selectate în urma unor studii de caz. Acestea sunt:

Magazine virtuale – E-shop

Reprezintă marketingul și vânzarea de bunuri și serviciu cu ajutorul Internetul de către o companie. În primă instanță acest lucru este făcut pentru a promova bunurile și serviciile oferite de companie. Suplimentar este adăugată și posibilitatea de a comanda și plăti serviciul sau produsul respectiv on-line. De cele mai multe ori acest model este combinat cu modurile tradiționale de desfacere și promovare a produsului.

Beneficiile obținute de companie sunt: cerere crescută a produsului, un mod ieftin de impunere pe piața globală și o reducere a costurilor din cauza eliminării intermediarilor.

Beneficiile pentru consumatori sunt prețuri mai mici, gama mai mare de alegere, informare mai bună, disponibilitate nonstop.

Majoritatea acestor site-uri comerciale sunt de tipul afacere către consumator, aparțin unei singure companii sau unui singur domeniu de activitate și acoperă o gamă largă de nevoi, de la vânzarea de flori (http://www.fleurop.com) și până la cea de bilete de avion (http://www.travelocity.com).

Aprovizionare electronică – E-procurement

Aceasta reprezintă ofertarea și procurarea electronică de bunuri și servicii. Mari companii sau autorități publice implementează diverse forme de E-procurement pe Internet. Beneficiile urmărite a fi obținute de către acestea sunt: o mai mare gamă de ofertanți cea ce se așteaptă să ducă la costuri mai mici, calitate mai bună și timpi mai mici de livrare.

Contactul, negocierea electronică și posibilitatea muncii în echipă dintre ofertant și cumpărător contribuie în continuare la scăderea costurilor și la creșterea avantajelor acestei soluții.

Licitație electronica – E-auction

Licitațiile electronice cu ajutorul Internetului reprezintă implementare electronică a mecanismului tradițional de licitare. O licitație este definită ca vânzarea publică de bunuri și proprietăți în care posibili cumpărători ofertează până când prețul cel mai mare este atins. Astfel licitațiile on-line sunt găzduite de site-ul licitator, în timp real și se desfășoară pe perioade variate de timp (ore, zile sau săptămâni). Când se ajunge la sfârșitul perioadei de licitare oferta cea mai avantajoasă primește obiectul licitat.

Acestea pot fi acompaniate de prezentări multimedia a bunurilor licitate. În mod normal aceste site-uri nu se rezumă numai la simpla funcție de licitație, ele integrând procesul de licitație cu servicii de plată a bunului respectiv precum și servicii de livrare a acestuia. Venitul acestor site-uri se află în comisionul perceput din prețul de vânzare al obiectului licitat și publicitatea găzduită pe site-ul de licitație.

Beneficiile pentru ofertanți și cumpărători sunt eficiența mărită și economie de timp, precum și prezența globală cea ce elimină necesitatea transportului fizic în locul unde are loc licitația.

Costul redus al cheltuielilor de licitație face posibile și licitarea de stocuri mici sau a obiectelor cu valoare mică.

Printre cele mai importante caracteristici pe care trebuie să le întrunească un site de licitație sunt: suportul pentru marea diversitate de metode de licitare care există, ușurința integrării cu diferite afaceri existente, mecanisme de securitate care să împiedice trișarea sau sabotarea licitaților și un mecanism eficient de a informa licitatorii despre modul în care decurge licitația.În viitor licitațiile electronice vor avea un efect profund asupra multor aspecte ale afacerilor pe Internet, de la stabilirea prețurilor pentru diferite produse până la lichidarea activelor. Există numeroase tipuri de practici ce folosesc licitațiile. PNC Bank folosește licitațiile on-line pentru a determina nivelul dobânzii pe care clienții îl vor primi. Alt exemplu îl reprezintă firma BMW care a licitat on-line prima mașină din seria BMW X5 Sport, ca parte în cadrul unei acțiuni de caritate.

Licitațiilor on-line de tipul afacere către afacere și afacere către consumator le este prevăzută o creștere importantă în viitor. Forrester Research preconizează o creștere de până la 52,6 milioane de dolari în vânzări prin licitații on-line de tipul afacere către afacere.Exemple de site-uri de licitație sunt Ebay (www.ebay.com) și Fast Parts (www.fastparts.com).

Supermagazin virtual – E-mall

Un supermagazin electronic, în forma sa primară, este format dintr-o colecție de mici magazine electronice (E-shop) unite de obicei sub un numitor comun cum ar fi de exemplu un mijloc de plată sau un nume cunoscut de firmă. Un astfel de exemplu ar fi Electronic Mall Bondensee (www.emb.ch). Când aceste supermagazine electronice se specializează pe un domeniu anume acestea devin piețe individuale pentru acel domeniu cum ar fi de exemplu Industry.net.

Operatorii acestor supermagazine electronice obțin venit fie din cota percepută din totalul vânzărilor, fie din vânzarea de spațiu publicitar, fie prin deținerea unor E-shop-uri în cadrul E-mall-uli și mizând pe faptul că clienții celorlalte magazine vor migra către E-shop-urile deținute de aceștia.

Pentru mulți comercianți on-line supermagazinele virtuale sunt soluția cea mai bună pentru a putea să își desfășoare activitatea, deoarece aceștia nu dispun de bugete mari pentru marketingul și publicitatea produselor distribuite.

Beneficiile pentru cumpărător sunt acelea obținute de la un magazin electronic individual la care se adaugă accesul ușor la alte magazine și o interfață comună de navigare prin acestea. Dacă E-mall-ul este deținut de o firmă cunoscută atunci crește și gradul de siguranță al cumpărătorului deoarece firma este văzută ca un garant al celorlalte firme mai puțin cunoscute.

Beneficiile pentru detonatorii de magazine în cadrul e-mall-ului sunt complexitate și costuri scăzute a prezenței pe Internet, trafic ridicat generat de celelalte magazine din sistem, metode de plată garantate.

Concesionarea afacerii – Third Party Marketplace

Este un model care apare din ce în ce mai frecvent datorită companiilor care decid să lase activitățile lor pe Internet în seama altor companii specializate în acest lucru. Aceste companii sunt de obicei firme care se ocupă cu crearea și întreținerea de magazine virtuale pentru firmele cu care au contractat. În multe cazuri acestea decid să adune toate din portofoliul lor sub o umbrele comună formând astfel un E-mall.

Companiile care decid să cedeze activitățile din cadrul Internetului altor firme o fac fie din a limita costurile marketingului pe Internet fie din lipsa cunoștințelor în domeniu.

Comunități virtuale – Virtual Communities

Principala valoare a comunităților virtuale este dată de membrii care adaugă informațiile lor într-un mediu virtual creat de compania ce deține comunitatea virtuală. Veniturile principale sunt asigurate de taxele de admitere și cele generate de publicitatea găzduită pe site.

Comunitățile virtuale pot fi constituite fie din inițiativă privată sau de către diverse companii. Companiile care constituie comunități virtuale urmăresc să obțină un avantaj pe o piață sau pe un anumit segment al acesteia, prin obținerea loialități membrilor comunității în cauză pentru produsele și serviciile firmei care a creat comunitatea respectivă. Ea este de asemenea folosită pentru a oferii suport post vânzare, pentru a afla părerile clienților despre produsele sau serviciile cumpărate, precum și de a își informa potențiali clienți asupra produselor noi apărute. Comunitățile virtuale apărute din inițiativă privată urmăresc reducerea barierelor de comunicare cauzate de distanță, dintre grupuri cu interese comune.

Comunitățile virtuale sunt deja abundente în diferite sectoare a le piețelor de desfacere cum ar fi de exemplu Amazon.com în cadrul pieței cărților, Indconnect.com pe piața oțelului și www.nanothinc.com pe cea a nanotehnologiei.

O comunitate virtuală poate să fie o adiție importantă la alte modele de afaceri cum ar fi de exemplu în cadrul unui E-mall pentru a contribui la creșterea loialității cumpărătorilor și pentru a primi feedback-uri de la aceștia.

Value Chain Service Provider

Aceștia se specializează într-o funcție specifică din lanțul de valori, cum ar fi plata electronică sau logistica distribuției, cu intenția de a transforma acest lucru în avantajul lor competitiv.

În cadrul comerțului tradițional băncile reprezintă cel mai clasic exemplu al acestui model de afacere ele adaptându-și în ultima vreme afacerea la comerțul electronic. Alte asemenea oportunități se nasc în managementul producției și al stocurilor unde multe asemenea acțiuni sunt întreprinse de intermediari. Profitul acestora este obținut fie dintr-o taxă fixă fie din una procentuală. Exemple de asemenea companii sunt FedEx și UPS (www.ups.com) prin interfața lor Web pentru transportul mărfurilor.

Value Chain Integrators

Aceștia se axează prin integrarea în cadrul mai multor etape din lanțul de valori cu potențialul de a exploata fluxul informațional dintre acestea ca o valoare separată. Veniturile provin din taxe de consultanță și procente din valoarea tranzacțiilor.

Un exemplu îl reprezintă companiile de transport multimodal precum și agențiile de voiaj și turism care van servicii oferite de terți (firme de transport, hoteluri etc).

Platforme de colaborare – Collaboration Platforms

Platformele de colaborare oferă un set de instrumente și medii informaționale pentru colaborarea între companii. Acestea în mod normal implică echipe din zone geografice îndepărtate cu cunoștințe diferite, iar aceste platforme le unesc pentru a realiza un proiect comun. Platformele de colaborare pot fi focalizate fie pe anumite funcții, cum ar fi colaborarea în cadrul unor proiecte de design sau de inginerie sau bazate pe oferirea de asistenta în cadrul unor proiecte cu o echipă de consultanță virtuală. Câștigul este obținut fie prin taxe de folosire a mediului informațional, fie prin vânzarea instrumentelor fie prin perceperea unor taxe pentru consultanță oferită.

Numărul platformelor de colaborare crește pe măsură ce importanța lor este pusă în valoare. Cel mai recent exemplu este cel al Uniunii Europene unde proiectele sunt împărțite între echipe care se află în țări diferite. Platformele de colaborare oferind mediul de comunicare și contribuind la diviziunea muncii.

Brokeraj de informații și alte servicii

O gamă întreagă de noi servicii informaționale apar, pentru a adăuga valoare la cantitatea mare de date disponibile on-line, cum ar fi serviciile destinate căutării de informație (ex Yahoo.com), brokerajului de oportunități de afaceri, a consultanței legate de investiți, etc.

Plata informației și a consultanței se face de obicei prin plata unui abonament sau a unei taxe de folosire, dar există și cazuri în care aceste taxe sunt suplinite prin folosirea unei scheme publicitare pe site-ul în cauză.

O categorie aparte o reprezintă serviciile de garantare a anumitor produse sau serviciu oferite de terți (Trust Services), acestea certifica anumite produse și servicii oferind un grad mai mare de încredere cumpărătorului. Astfel vânzările companiilor ce au contractat o astfel de certificare cresc, ele oferit în schimb companiei care a oferit certificarea o taxă fixă sau procentuală în raport cu vânzările efectuate.

Clasificare și exemple de afaceri on-line

1.2.2. Modelul Michael Rappa

Alături de clasificarea făcută de Paul Timmers, alți cercetători au găsit alte căi de a clasifica modelele de comerț electronic. Michael Rappa, profesor de tehnologia managementului la North Carolina State University propune modelul de afacere ca „metodă de a face afaceri, prin care o companie se poate susține”, să fie profitabilă. El identifică șapte forme generice de modele de afaceri electronice.

Modele pe baza de brokeraj – Brokerage Model

În cadrul modelului de tip Brokeraj, brokeri sunt considerați creatori de piețe. Aceștia adună cumpărători și vânzători împreună și ușurează tranzacțiile. Aceștia acționează pe piețe de tip afacere către afacere, afacere către consumator, consumator către consumator. Pentru a face bani brokerul cere o taxă pentru fiecare tranzacție care a avut loc. Modele care se încadrează în această categorie poate lua o mulțime de forme și sunt cuprinse în următorul tabel.

Modele pe bază de publicitate – Advertising Model

Al doilea model identificat de Michael Rappa este cel bazat pe publicitatea on-line. Publicistul, reprezentat de site-ul Web, pune la dispoziție produse, servicii ieftine sau servicii on-line cum ar fi e-mail gratuit sau servicii de mesagerie on-line, care sunt amestecate cu mesaje publicitare. Publicitatea este sursa cea mai mare sau singura sursă prin care site-ul respectiv obține profit. Modelul publicitare este eficient numai în cazul în care traficul site-ului este foarte mare sau foarte specializat.

Modele bazate pe intermedierea informației – Infomediary Model

Informațiile oferite de consumatori precum și obiceiurile lor de cumpărarea sunt foarte importante. Mai ales când această informație se folosește în scopuri publicitare. Firmele ce operează după aceste mode lucrează prin colectare acestor informații care după aceea sunt vândute către terți. O astfel de firmă oferă utilizatorilor diferite produse și servicii (acces gratuit la Internet sau produse gratuite) în schimbul posibilității de a urmării obiceiurile lor de navigare și cumpărare a produselor. 

Modele pe bază de vânzare on-line – Merchant Model

În cadrul acestui model intră vânzătorii on-line clasici cunoscuți și sub numele de „e-tailers”. Vânzările acestora se fac fie pe baza unei liste cu produsele și serviciile oferite fie pe bază de licitații. 

Modelul producătorilor – Manufacture Model

Modelul producătorului sau modelul direct se bazează pe capacitatea Internetului de a permite producătorului (o companie care a dezvoltat un anumit produs sau serviciu) să intre în contact direct cu cumpărătorii și astfel să scurteze canalul de distribuție. Avantajele acestui model sunt o mai bună eficiență, un serviciu de desfacere îmbunătățit și o mai bună înțelegere a preferințelor consumatorului. Exemple de astfel de modele sunt: Dell Computer, Apple Computer.

Modelul comunităților virtuale – Community Model

Viabilitatea acestui tip de model se bazează pe loialitatea utilizatorilor. Utilizatorii investesc puternic în acest tip de site atât timp cât și emoții. Veniturile se bazează pe vânzarea de produse și serviciu auxiliare, publicitate sau contribuiții voluntare.

Modele pe bază de abonament – Subscription Model

Utilizatorii sunt taxați periodic (zilnic, lunar sau anual) pentru folosirea unui serviciu. De obicei conținutul acestor site-uri este mult mai valoros din punct de vedere informațional decât conținutul site-urilor similare dar cu acces gratuit. Un sondaj efectuat în 1996 de către Jupiter Communications a arătat faptul ca 46% din utilizatorii Internetului nu sunt dispuși să plătească pentru acest tip de serviciu. Din acest motiv nu este neobișnuit pentru un site să combine serviciu gratuite cu serviciu pentru care trebuie plătit un abonament.

Cele șapte modele de afaceri on-line sunt aplicate într-o mare varietate de moduri, astfel oricărei firme îi este posibil să combine elemente aparținând diferitelor modele pentru a obține un model profitabil propriu.

2. Conceptul de securitate

O definiție largă a noțiunii de securitate pentru calculatoare ar fi următoarea: interzicerea accesului unor persoane neautorizate la anumite date. Putem distinge două tipuri de restricții: restricții asupra citirii unor date secrete si restrictii asupra modificarii de catre persoane neautorizate. Exista mecanisme speciale pentru fiecare din aceste scopuri, si exista mecanisme care pot fi adaptate pentru ambele.

Sa observam ca orice schema de securitate trebuie sa inceapa cu securitatea fizica a unor dispozitive de calcul (in sensul ca accesul la aparatul insusi este ingradit). Daca nu poti avea incredere in nici un calculator, atunci nu poti face nici un fel de comunicatie sau stocare de date sigura. Daca cineva are control asupra sistemul de operare al unui calculator atunci el poate intercepta toate tastele apasate si toate caracterele scrise pe ecran. Atunci când lucrați pe un calculator trebuie să aveti deplina incredere cel putin in consola la care lucrati si in celalalt capat al liniei. Daca nu puteti garanta aceste lucruri nu trebuie sa va asteptati la nici un fel de garantii de securitate din partea sistemului. Marile banci au calculatoarele ingropate in niste buncare subterane extrem de bine pazite; unul dintre motive este, desigur, acela de a nu pierde informatii extrem de importante in cazul unei calamitati, dar una dintre ratiunile primordiale este garantarea securitatii fizice a sistemului. Oricare ar fi scopul pentru care vrem sa protejam date, politica pe care o aplicam in acest sens va fi o functie de entitatea care vrea sa acceseze datele. De pilda anumite documente militare vor fi secrete pentru gradele mici, dar vor putea fi accesate de un general. Pentru a putea face astfel de distinctii este deci necesar sa avem la dispozitie un mecanism de autentificare.

Necesitatea de securitate

O politica de securitate, dintr-un punct de vedere abstract, declara consideratiile din perspectiva securitatii care sunt sau nu sunt permise in timpul functionarii unui sistem. O politica de securitate de nivel inalt stabileste reguli care integreaza tot sistemul fara a sugera si metode prin care aceste rezultate sa fie atinse. De obicei, o politica de securitate trece printr-o serie de procese de transformare iterative bazate pe specificul sistemului pe care este folosita. Regulile rezultate redefinesc politica de securitate pentru a satisface nevoile de securitate ale sistemului gazda.

Un bun de valoare poate avea o politica de securitate desi poate aceasta nu este explicit definita. Poti, spre exemplu, face copii de rezerva a documentelor in mod regulat. In acelasi mod, poti lua decizia de a dezactiva Java sau JavaScript din browser-ul tau, sau poti cripta anumite fisiere. Cu cat creste valoarea datelor detinute, cu atat trebuie sa crestem si masurile de securitate pentru a corespunde cu nivelul de securitate al datelor.

Multe atacuri din aria securitatii computerelor si a comunicatiilor de date sunt datorate violari de acces. Astfel, specificarea comportamentului sistemului pentru primirea utilizatorilor autorizati si neautorizati, devine o parte importanta a politicii de securitate. Acestea pot fi impartie in politici bazate pe identitate si politici bazate pe reguli, clasificare facuta in functie de tipul de consideratii de autorizare dupa care se face accesul.

Politicile bazate pe identitate implica criterii de autorizare specifice, atribute individualizate de autorizare cu un comportament need-to-know. Un mod simplu de a implementa aceste politici este prin intermediul listelor de control al accesului (ACLs), care enumera identitatile entitatilor autorizate care pot accesa o resursa. O lista de control a accesului (ACL) este considerata o parte a unei resurse, de aceea sistemul trebuie sa verifice ACL-ul sau pentru a permite accesul la acea resursa. Certificatele digitale reprezinta alt mod de implementare a unei politici bazata pe identitate.

O politica bazata pe reguli foloseste un set de reguli si de etichete pentru a determina accesul la sistem. Orice persoana, proces sau date au o eticheta de securitate. De exemplu, un document poate avea: neclasificat, confidential, secret sau top secret. O persoana poate avea un nivel de acces in functie de gradul de incredere al acesteia. O astfel de politica isi stabileste propriile etichete, niveluri de acces si reguli de ghidare a accesului autorizat. O regula poate specifica faptul ca documentele etichetate cu top secret pot fi citite de cel mai inalt nivel de autorizare. Spre deosebire de listele de control al accesului (ACL), o regula nu este interpretata ca parte a unei resurse. Un mod mai sofisticat de folosire a etichetelor si a regulilor o are Departamentul de Aparare al SUA (DoD).

O politica de securitate specifica modurile de folosire adecvata si neadecvata a unui sistem, posibilele amenintari asupra sistemului, si metode de aparare impotriva atacurilor. Poate cel mai important bun de valoare al unui sistem sunt datele continute.

Atac si defensiva software

Securitatea informatiilor asigura nedezvaluirea informatiilor persoanelor neautorizate, informatiile nu sunt amestecate si persoanele autorizate au acces la resursele informatice. Securitatea computerului si a comunicatiilor de date sunt doua diviziuni ale securitatii informatiilor. Securitatea computerului se ocupa cu securitatea datelor stacate pe un computer, in timp ce securitatea comunicatiilor de date se refera la protectia datelor cat acestea sunt in tranzit de la un sistem la altul.

Este imperativ sa avem in vedere faptul ca securitatea informatiilor trebuie aplicata impreuna cu alte masuri de protectie pentru a proteja total un sistem. De exemplu, in zadar putem sa protejam date atata timp cat sunt in transit de la un sistem la altul, daca sistemele insesi nu sunt protejate si pot fi accesate de oricine. Cateva din aceste aspecte ale securitatii sunt:

Securitatea administrativa – aceasta include colaborarea cu alte departamente in vederea definirii unei politici de securitate, contsruirea unor grafice de risk, simularea dezastrelor, monitorizarea angajatilor, creand conturi de acces separate, copierea de rezerva a datelor.

Securitatea componentelor media – asigura distrugerea materialelor printabile cand acestea nu mai sunt de folos, copierea materialelor sensibile in moduri controlate, copiile de rezerva sa fie distruse corespunzator daca nu mai sunt folosite.

Securitatea fizica – protejeaza computerele, unitatile media, copiile de rezerva, camerele sistemelor, cladirile.

Securitatea personalului – informarea angajatilor despre politica de securitate, identificarea, controlarea si monitorizarea pozitiilor cheie.

Trebuie specificat in continuare ca exista o distinctie clara intre servicii de securitate si mecanisme de securitate. Un serviciu de securitate este calitatea unui sistem de a satisface o politica de securitate. Un mecanism de securitate reprezinta procedura efective prin care se realizeaza un anumit serviciu de securitate. Un serviciu de securitate identifica ce trebuie facut, pe cand un mecanism de securitate descrie cum trebuie facut. Pentru a face o mai buna distinctie intre acestea doua, sa consideram serviciul de confidentialitate, care protejeaza datele de acesul neautorizat. Un mecanism de a implementa acest serviciu il reprezinta mecanismele de criptare, care codifica datele pentru a le ascunde. Cateodata, mai multe mecanisme de securitate implementeaza un singur serviciu de securitate.

Autentificarea (authentication) este procesul prin care se verifica identitatea unei instante (de exemplu un utilizator) care a produs niste date. Cele mai sigure metode de autentificare sunt cele biometrice, care masoara caracteristici fizice unice ale unui individ (cum ar fi amprentele digitale sau forma irisului). Acestea sunt foarte greu de pacalit. Din (ne)fericire sunt inca foarte costisitoare si putin raspandite. Metoda prin care in mod uzual calculatoarele identifica identitatea unei entitati cu care comunica este verificarea ca acea entitate stie o informatie care foarte probabil nu mai este cunoscuta de nimeni altcineva. In sistemele tipice Unix acel secret este parola pe care utilizatorul trebuie sa o tasteze inainte de a incepe lucrul.

Sa mai observam ca pentru a putea vorbi despre autentificare trebuie sa avem o notiune de identitate a utilizatorilor. Calculatorul trebuie sa poata distinge cumva intre diferitii indivizi care il folosesc. Trebuie sa existe un spatiu de nume pentru utilizatori; autentificarea atunci va pune in corespondenta o entitate activa cu un astfel de nume. In Unix numele utilizatorilor autorizati sunt trecute intr-o mica baza de date intr-un fisier numit /etc/passwd (sistemele mai moderne au scheme mai complicate, dar inrudite); pentru un sistem Unix a autentifica un utilizator consta in a asigna unul dintre aceste nume cunoscute unui set de procese executate de acel utilizator. Daca un individ nu are un nume in acel fisier atunci el nu exista pentru calculator. Cu alte cuvinte, pentru a putea vorbi despre autentificare trebuie ca partile implicate in comunicare sa aiba un spatiu de nume comun pentru utilizatori.

Daca intreg sistemul cu care lucram este sigur fizic atunci nu avem mare nevoie de autentificare; notiunea de securitate fizica implica faptul ca persoane neautorizate nu pot accesa sistemul. De indata insa ce datele trebuie sa traverseze portiuni nesigure trebuie sa luam masuri suplimentare de precautie. Transformarea datelor in scopul de a impiedica accesul persoanelor neautorizate se numeste criptare. Criptarea transforma un text inteligibil (plaintext) intr-un cifru (ciphertext). Procesul de codificare se numeste cifrare sau criptare (encryption) iar procesul invers se numeste descifrare sau decriptare (decryption).

Putem vedea criptarea unui mesaj ca o transformare a mesajului. In mod normal aceasta transformare este una functionala, n sensul ca unui mesaj ii corespunde un singur cod. Pentru a putea folosi la ceva mesajele codificate trebuie sa existe si o transformare inversa, prin care dintr-un cifru obtinem textul initial. Daca notam functia de criptare cu E (de la encryption) si cea de decriptare cu D, pentru un mesaj x trebuie sa avem relatia D(E(x)) = x. De aici rezulta in primul rand ca functia E trebuie sa fie injectiva (altfel inversa nu este bine definita), cu alte cuvinte oricare doua codicari ale unor cuvinte diferite trebuie sa fie diferite. In realitate functiile de criptare si decriptare mai au un parametru relativ scurt, numit cheia de criptare. Cheia este un obiect relativ usor de descris si manipulat, spre deosebire de functiile D si E. D va fi atunci de forma D(x; k), unde k este cheia. E(x; k1) este functia de decriptare, k1 fiind cheia pentru decriptare. Se deosebesc doua feluri de sisteme de criptare: simetrice, in care k = k1 si asimetrice in care cheile sunt diferite. Ceea ce este important este ca functiile D si E sunt cunoscute de toata lumea; atunci cand vreau sa stabilesc un canal sigur cu un alt individ noi trebuie doar sa cadem de acord asupra cheilor pe care le folosim (k si k1). Nu oricare doua functii care satisfac cerintele anterioare sunt bune pentru criptare. Daca fixam cheia k si notam functia E(k; .) cu Ek, trebuie ca din cunoasterea valorii lui y = Ek(x) (cifrul) sa fie practic imposibil de calculat x. Din cauza asta functiile de criptare se numesc (nu foarte precis) neinversabile sau greu inversabile (one-way functions). Ce inseamna de fapt imposibil de calculat? In principiu asta inseamna ca orice algoritm care ar calcula cheia k stiind y, D si E trebuie sa aiba o complexitate mai mare decat polinomiala (de exemplu exponentiala). Sa observam ca exista intotdeauna algoritmi care pot calcula inversa, pur si simplu iterand prin toate cheile posibile si vazand daca D(y; k) este un cuvant din limbajul de intrare. Dar daca cheia are n biti, trebuie incercate 2n combinatii diferite. Pentru un n suficient de mare sunt mult prea multe incercari, chiar si pentru cel mai perfectionat supercalculator. De altfel unul dintre cele mai populare programe pentru spart parole pentru Unix, crack, se bazeaza pe faptul ca, cheile de fapt nu sunt egal probabile; utilizatorii vor alege cu mare probabilitate anumite cuvinte (pe care le vor mutila in mici feluri), pentru ca sunt mai usor de memorat. Crack are la dispozitie un dictionar enorm si o suita de reguli pentru a modica cuvintele, si pur si simplu incearca toate variantele; desi asta poate parea mult, o limba umana are sub 200 000 de cuvinte, o bagatela pentru un calculator (comparati de pilda cu 1288 = 72057594037927936, cat ar fi combinatiile de 8 caractere ASCII).

Concepte si motivatii aflate la baza atacurilor

Pentru a afla care sunt motivatiile din spatele atacurilor software, trebuie sa stim mai intai cine sunt persoanele din spatele acestor atacuri. Persoanele respective sunt hackerii si crackerii, dupa cum s-au denumit ei. Un hacker este o persoana in special interesata de subtilitatile si dedesubturile unui sistem de operare al unui computer. Cel mai frecvent, hackerii sunt programatori. Astfel, ei acumuleaza cunostinte avansate ale sistemelor de operare si a limbajelor de programare. Ei pot gasi gauri in securitatea sistemelor si motiveleexistentei acestor gauri in securitate. Hackerii sunt intr-o continua acumulare de cunostinte, ei impart cu toata lumea ceea ce au descoperit fara a cere vreo compensatie, si, niciodata, cel putin nu intentionat, nu vor sa puna in pericol informatiile de pe sisteme. Un cracker este o persoana care intra intr-un sistem de la distanta violandu-i integritatea, cu intentii rele. Crackerii, obtinand acces neautorizat, distrug date importante, neaga anumite servicii utilizatorilor autorizati sau pur si simplu cauzeaza probleme tintelor lor. Crackerii sun mai usor de identificat deoarece intotdeauna actiunile lor sunt rautacioase.

Unii crackeri ataca sistemele pentru profituri financiare. Aceasta poate fi in contextul a doua companii rivale. Compania A vrea sa opreasca site-ul Companiei B, si astfel angajeaza un cracker, care poate sa intre in orice fel de sisteme pentru un pret potrivit. Alti crackeri sunt implicati in activitatii criminale, cum ar fi furtul de identitate, identitati care sunt folosite la obtinerea cartilor de credit pe alte nume decat pe ale lor. Alte atacuri comune sunt urmarirea si clonarea telefoanelor mobile, cheme de piratare si de frauda bancara. O categorie aparte de crackeri o reprezinta tinerii cu abilitati extraordinare de a asimila cunostinte tehnice despre computere, care vor doar sa se joace.

Pierderi estimate

Un virus de computer este o bucata de cod executabil care are capacitatea unica de a se replica. Ca si virusii biologici, cele pe computer se pot raspandi foarte repede si adesea sunt greu de eradicat. Ei se pot lega foarte usor la orice tip de fisier si se raspandesc odata cu copierea acestor fisiere si sunt trimise de la un sistem la altul.

Unii virusi pot contine o procedura destructiva care se poate activa. Aceste proceduri destructive pot afisa imagini sau mesaje pe monitor, dar pot distruge si fisiere, pot formata harddisk-ul, sau pot face alt rau. Chiar daca virusul nu contine si o procedura destructiva el tot poate sa faca rau, tinand ocupata memoria si o buna bucata din capacitatea de stocare a computerului, putand chiar sa scada foarte mult performanta computerului sau a retelei.

Cu cativa ani in urma majoritatea virusilor se raspandeau in principal prin intermediul dischetelor, dar Internetul a introdus noi mecanisme de distributie a virusilor. Cu ajutorul email-ului care este folosit ca unul dintre cele mai importante mijloace de comunicare, virusii se raspandesc mai repede ca niciodata. Virusii atasati mesajelor email pot infecta corporatii intregi in doar cateva minute, producand acestor companii pierderi de milioane de dolari anual prin scaderea productiei si costuri de eradicare a virusilor. Utilitarele antivirus au devenit o necesitate in mediul schimbator al comunicatiilor.

Institutul pentru Securitatea Computerelor (CSI) a condus un sondaj pe 538 de angajati care se ocupa de securitatea companiilor lor, comerciale, guvernamentale, institutii financiare si universitati din Statele Unite ale Americii. Rezultatele lor au dezvaluit ca un procent de 85% din amgajati au descoperit gauri in securitate pe un interval de timp de doisprezece luni. Doar 35% din cei 538 de angajati au raportat pierderile financiare ale companiilor lor estimate la 377 828 700 dolari. Dintre acestia, cei mai multi au dat vina pe conexiunile la Internet ca principala cauza a atacurilor hackerilor.

Virusii de computer nu o sa dispara in viitorul apropiat. Pana acum au fost identificati peste 20 000 si 500 de virusi noi sunt creati in fiecare luna, potrivit relatarilor Asociatiei Internationale pentru Securitatea Computerelor (ICSA). Avand in vedere aceste cifre, putem spune cu siguranta ca majoritatea organizatiilor trebuie sa se descurce in mod regulat cu virusii din sistemele lor. Nici un utilizator de computer nu este imun la virusi. Odata cu dezvoltarea Internetului si a comunicatiilor pe Internet, cum ar fi email-ul, care au devenit unul dintre cele mai importante mijloace de comunicare la distanta, virusii de email si cei de pagini web sunt fara indoiala o problema majora pentru multe organizatii. Un singur atasament la un email sau simpla rulare a unui virus de pe Internet sau email poate duce la raspandirea infectiei in cateva ore si pagubele financiare estimate la o crestere exponentiala cu fiecare ora de infectare.

Hackerii, care doresc sa faca metode de atac automate din ce in ce mai sofisticate, creeaza tot timpul noi tipuri de programe daunatoare pentru administratorii IT. Din 70 000 de corporatii sondate in ianuarie 2003, hackerii au avut in medie peste 7000 de incercari de a penetra computerele corporatiilor respective. Aceasta situatie reprezinta de trei ori mai multe atacuri decat cu o luna in urma (decembrie 2002). Managerii IT au raportat si o crestere a atacurilor de tipul negarea serviciilor (DoS), care pot opri un site, producand pierderi financiare majore.

Mai mult de 87% din virusii care patrund intr-o organizatie se datoreaza email-ului. Email-ul s-a dezvoltat in asa fel incat a trecut dincolo de nevoia de comunicare, ajungand sa fie o aplicatie importanta in afaceri. Daca email-ul cade sau este intrerupt, legaturi importante cu comerciantii si cu cumparatorii cad, si afacerile se pot opri. Iata un scenariu in care un document infectat atasat la un email trimis prin Internet ajunge la doua companii, A si B. S a presupunem ca toate computerele companiilor au fost infectate. Investind intr-un program de protectie impotriva virusilor de email poate economisii companiei 22 000 dolari pe incident, sau, calculand suma medie in functie de numarul de ori in care hackerul incearca sa sparga un sistem al organizatiei, 528 000 dolari pe an.

Costuri ale detectiei, curatarii si recuperarii datelor dupa un virus

Costuri comparative pentru un atac cu virusi asupra companiilor A si B

Costuri comparative ale infectiei cu virusi in timp

Intr-un timp, seiful companiei se afla in spatele unui tablou din biroul managerului general, acum cele mai pretioase bunuri sunt informatiile. Principala grija este reprezentata de pierderea informatiilor confidentiale si a celor cu drepturi de autor, datorita unui atac necontrolat cu virusi. Nu exista a ora actuala vreun mijloc de a masura cu exactitate valoarea informatiilor care nu se mai pot recupera datorita virusilor, dar costul este destul de mare. Potrivit sondajelor ICSA, 36 % din 300 de organizatii au raportat ca serverele lor au fost inoperabile pentru 1 ora sau mai putin, o data la celputin 21 de ore. Cativa dintre acestia au necesitat pentru reparatii in jurul a 1000 de ore. Mai mult de 80 % din organizatiile afectate au necesitat 20 de persoane sau mai multe sa lucreze la recuperarea serverelor. Costul direct estimat a fost intre 10 000 $ (minim) si 120 000 $ (media). Cu cat o infectie este detectata mai repede, cu atat scade costul eradicarii ei si cu atat scade si costul pagubelor materiale si a pierderilor de date scade. Oprirea virusilor la server, in loc de curatarea infectiilor a sute de fisiere si a sute de terminale, poate economisii mii de dolari pe incident. Pentru a putea sa-si estimeze costurile la un incident o oranizatie poate intra pe site-ul: http://www.antivirus.com/products/smex/costanalysis.htm.

3. Atacuri software

3.1. Clasificarea tipurilor de atacuri

Toate comunicatiile de pe Internet sunt inerent nesigure si fac obiectul multor scurgeri de informatii si fraude. Comunicatiile pe Internet pot fi potential ostile, cand se intentioneaza furtul informatiilor confidentiale de pe anumite computere, distrugerea de fisiere sau chiar afectarea computerului in sine. Un server nesigur din Internet poate fi calea prin care un utilizator poate fi pacalit sa dezvaluie informatii confidentiale, un utilizator rau-voitor se poate da drept agent autorizat alunui anumit sistem astfel putand desfasura activitati ilegale. Scurgerile de securitate sunt astfel foarte numeroase pe Internet.

Eavesdropping – toate mesajele dintre browser si server sunt interceptate de cineva; daca mesajele sunt criptate, se poate incerca decriptarea lor si descoperirea informatiilor.

Tampering – toate mesajele dintre browser si server sunt supuse modificarilor. Obiectivele acestui amestec sunt de a imprima un alt comportament decat cel intentionat server-ului sau browser-ului, sau de a intrerupe comunicatia dintre ele.

Servere nesigure – serverul sau computerul gazda pot fi “sparte” de un utilizator pentru a fura informatii confidentiale, cum ar fi numere de carti de credit.

DoS (negarea serviciilor) – server-ul este supus amenintarilor de ai intrerupe functionarea. Un server astfel atacat poate deveni inaccesibil pentru utilizatorii autorizati.

Cod descarcabil – cod care poate fi descarcat de pe un server pe un browser si rulat local pe computerul gazda. Codul descarcat poate incerca sa acceseze si sa trimita informatii confidentiale server-ului fara acordul utilizatorului.

Browser nesigur – un browser care are erori de incarcare si astfel se pot lua informatii.

Mascarada – un impostor se poate da drept utilizator autorizat al unui server si astfel poate face activitati ilegale, cum ar fi deturnarea de fonduri. In acelasi fel, un server nesigur se poate da drept server sigur si poate pacali utilizatorul sa dezvaluie informatii confidentiale unor organizatii neautorizate.

Dependenta din ce in ce mai mare a societatii de computere si de Internet reprezinta surse de scurgeri de informatii si asigura oportunitati pentru atacuri daunatoare.

O amenintare este reprezentata de o persoana, un program de computer, un dezastru natural, un accident, sau chiar si o idee care presupune un pericol pentru un bun. Un bun reprezinta orice este de valoare. Un atac poate fi intentionat, cum ar fi intrarea voita intr-un sistem neautorizat, sau accidentala, varsarea unui lichid pe computer. Atacurile pot veni de la persoane din afara organizatiilor sau din membrii unor organizatii nemultumiti de conducere sau de politica organizatiei. Atacurile pot fi active, cum ar fi oprirea unui server Web, sau pasive, cum ar fi ascultarea unor comunicatii de date.

Mult mai multe informatii se pierd datorita accidentelor decat din atacurile voite. Atacurile accidentale pot fi de diverse forme: un utilizator autorizat poate schimba protectia de modificare a unui fisier confidential, sterge un fisier vital sau varsa bauturi pe tastatura, sau un administrator de retea care nu configureaza corespunzator un firewall. Atacurile accidentale nu pot fi intotdeauna prevenite. Totusi, dimensiunile pagubelor pot fi minimizate prin impunerea si respectarea anumitor reguli de securitate. Amenintarile naturale, cum ar fi incendiile, cutremurele, inundatiile, tornadele, sau intreruperile de curent, sunt tot atacuri accidentale.

Atacurile voite sunt lansate deliberat de atacatori in incercarea de a compromite securitatea unui sistem in vederea castigurilor financiare, spionajului industrial, sau alte motive.

Se estimeaza ca in jur de 80% din penetrarile de sisteme sunt comise de utilizatori interni autorizati care-si violeaza drepturile de acces pentru a face alt tip de activitati. Motivatiile atacurilor interne sunt foarte variate. Un angajat nemultumit poate incerca sa se razbune intrerupand un anumit proces al sistemului, sau incercand sa fure si sa vanda informatii confidentiale. Un angajat lacom poate fi mituit sau santajat in vederea dezvaluirii unei parole sau poate uita intentionat pornirea aarmei la plecarea de la servici. Totusi, nu toate atacurile interne sunt intentionate. Un angajat poate sa nu fie informat asupra noilor masuri de securitate sau poate uita distrugerea unor documente printate.

Atacurile externe sunt comise de dusmani externi care nu au nici un fel de acces autorizat. Ei pot folosi un PC si un modem pentru a penetra un computer conectat la Internet, sau se pot deghiza in personal administrativ pentru a avea acces la cladirile cu sisteme. Ameninatrile serioase sunt acelea cand un atacator intern lucreaza impreuna cu un atacator extern.

Atacurile pasive constituie pericole care nu intervin in rularea optima a unui sistem si nu ii altereaza starea, cu toate ca ii poate compromite integritatea accesand informatii confidentiale. Monitorizarea informatiilor este cel mai important tip de atac pasiv, in care un intrus poate asculta linistit comunicatiile dintre doua organizatii fara sa o intrerupa sau altera. A asculta o linie telefonica sau a deturna pachete dintr-o retea sunt metode comune de a monitorizare a comunicatiilor. Intr-o retea deschisa, asa cum este Internet-ul, este de obicei foarte dificil sa detectezi monitorizarea comunicatiilor, mai mult, prevenirea acesteia este imposibila.

Un atac activ face mai mult decat o simpla monitoizare a comunicatiilor, el intrerupe buna functionare a unui sistem sau incearca activ sa acceseze informatii confidentiale.

Lista de atacuri active:

Violarea accesului – o persoana foloseste gresit nivelul sau de autorizare pentru a intreprinde activitati nepermise. Acest tip de atac provine de obicei din interior, dar poate veni si din exterior din partea unei persoane care foloseste un cont de acces al unei persoane din interior pentru a accesa informatii confidentiale.

Amestecul – acest tip de atac intervine in comunicatiile dintre doua sau mai multe grupuri, modificand mesajele lor, inserand mesaje false, stergand mesajele sau doar o parte din continutul lor, sau retransmitandu-le. Aceste atacuri pot fi folosite pentru a pacali o persoana sa divulge informatii confidentiale unui server nesigur.

DoS (negarea serviciilor) – accesul autorizat la servicii, resurse, sau informatii, este impiedicat deliberat. Acesta poate fi facut interzicand traficul cu sistemul atacat sau generand un trafic ult prea mare pentru sistemul atacat. De exemplu, un server Web este atacat cu un flux de pachete pentru ai intrerupe serviciile. Acest tip de atac poate fi indreptat asupra unui singur computer sau a unei intregi retele. Un atacator poate respinge toate mesajele indreptate spre un serviciu de inregistrare a securitatii pentru a-l intrerupe.

Intermediarul – acesta este un atac facut de o persoana care intercepteaza toate comunicatiile dintre doua grupuri, facandu-le sa creada ca discuta direct unul cu celalalt, in timp ce grupurile discuta cu atacatorul.

Mascarada – un impostor pretinde a fi o entitate autorizata pentru a primi acces la date confidentiale. Un utilizator autorizat se poate la randul lui da drept alt utilizator autorizat pentru a primi acces la date confidentiale. Atacurile gen mascarada sunt de obicei folosite impreuna cu alte tipuri de atacuri active, cum ar fi replay-ul, pentru a penetra defensiva unui sistem.

Replay-ul (reluarea) – un atacator repeta un mesaj sau o parte a unui mesaj cu consecinte neautorizate. Atacatorul poate captura si repeta un mesaj de autentificare pentru a se da drept utilizator autorizat.

Repudiation (respingerea) – un grup implicat sau care a asistat la o convorbire neaga mai tarziu impicarea lor sau participarea la acest act de comunicatie.

Pacalirea (spoofing)– pacalirea reprezinta o inselare a unui utilizator pentru a dezvalui informatii confidentiale unui impostor sau de a intreprinde actiune care violeaza securitatea sistemului. Un server nesigur poate pacali un utilizator facandu-l sa-si dezvaluie numarul cartii de credit.

Patrunderea intr-un sistem – un impostor primeste acces la un sistem dandu-se alt utilizator sau exploatand o gaura in sistemul de securitate. Atacatorul de obicei patrunde intr-un computer mai putin sigur si folosindu-l pe acesta lanseaza atacuri asupra altor computere.

Troienii – un troian este un program de computer care se ascunde in spatele unui scop comun pentru a intreprinde actiuni nedorite. Un bun exemplu de troian il reprezinta o logare improprie care copiaza numele de inregistrare si parola intr-un fisier inainte de a se inregistra. Fisierul poate fi vizualizat ulterior de atacator sau trimis prin e-mail in vederea lansarii unor atacuri mai serioase.

Metode de aparare

Mecanismele de aparare mecanisme, restrictii, masuri si reguli stabilite pentru a preveni atacurile si pentru a reduce efectele unui atac. O metoda de aparare impotriva monitorizarii comunicatiilor de date, este spre exemplu, criptarea mesajelor inainte de transmiterea lor intr-o retea deschisa. Un sistem este de obicei penetrat in punctul sau slab, si, de aceea, metodele de aparare sunt facute sa se adreseze tuturor aspectelor de securitate, cum ar fi securitatea computerului, a comunicatiilor, a personalului. De exemplu, criptarea este un mijloc de protectie impotriva ascultarii pasive a comunicatiilor, dar este ineficienta daca sistemul nu are si un set de securitate privind restrictiile fizice. Sunt cateva servicii de securitate care ofera protectie impotriva amenintarii comupterelor si a comunicatiilor. Acestea sunt capabile sa respinga impostorii care se dau drept utilizatori autorizati, care asculta pasiv si interzic accesul la servicii.

Un atac este realizarea efectiva a unei amenintari. Atacurile reies din vulnerabilitati, care sunt gauri in securitate, sau chiar lipsa totala a securitatii. Masurile de securitate de obicei cresc costul unui sistem si il fac mai greu de folosit. Evaluarea amenintarilor este procesul de identificare a tipurilor specifice de amenintari la care poate fi supus un sistem. Un sistem este de obicei vulnerabil in mai multe feluri, dar un atacator nu le poate exploata pe toate.

Astfel, autentificarea reprezinta asigurarea identitatii unui utilizator. Un pretendent este o persoana, un program de computer, sau o componenta a carei identitate este verificata; un titular este posesorul de drept al unei identitati. O cerere de creditare este dovada ca un pretendent vrea sa-si stabileasca identitatea de titular. Serviciul de autentificare asigura protectie impotriva mascaradei, pacalirii, si a intermediarilor. Doua tipuri de autentificare sunt autentificarea entitatii si autentificarea originii datelor. Prin autentificarea entitatii, utilizatorul pretinde a fi titularul sistemului, iar serviciul de autentificare are dreptul de a recunoaste sau nu identitatea acestuia, iar celalalt tip de autentificare, asigura dovada ca datele au fost trimise de titular. Autentificarea entitatii poate fi unilaterala sau comuna. In cea unilaterala, doar unul dintre sistemele aflate in comunicare trebuie sa se autentifice, iar in autentificarea comuna ambele sisteme trebuie sa o faca.

Serviciul de autentificare este foarte important pentru securitatea functionarii unui sistem. Un sistem, de obicei, mai intai autentifica o entitate care incearca sa stabileasca un inceput de comunicare. Dupa aceea, identitatea entitatii este folosita pentru a determina gradul de acces al acesteia. In timpul unui proces de autentificare, doua sisteme cad de acord asupra unui secret comun, care foloseste la pastrarea integritatii si a confidentialitatii.

Mecanismele de autentificare sunt de obicei bazate pe: ceva ce stii, ceva ce tu ai si ceva ce esti, adica pretendentul stie o parola sau numar de identificare personal (personal identification number – PIN), sau poseda o cheie fizica, un card, sau ceva propriu clientului, cum ar fi amprenta digitala, vocala sau a retinei. Deoarece nici acesti factori nu pot asigura suficienta securitate, un sistem de autentificare multi-factor ii cere pretendentului mai multe dovezi pentru a-si proba identitatea. Spre exemplu, un bancomat ii cere clientului un PIN, dar nu inainte ca acesta sa aiba chiar cardul, pentru a-si accesa contul.

Parolele sunt cel mai folosit mijloc de autentificare al unei persoane. Astfel, un pretendent isi demonstreaza identitatea prin cunostinta unei fraze de trecere, adica un sir de caractere sau numere. Parolele sunt folosite in toate schemele de autentificare la un nivel sau altul. Cu toate acestea parolele sau dovedit a fi una dintre cele mai mari vulnerabilitati ale sistemelor de autentificare, si sunt una din principalele cauze ale compromiterii securitatii. Poate neajunsul acestora consta in tendinta utilizatorilor de a alege parole usor de memorat, si in consecinta usor de ghicit. Pentru ca o parola sa poata fi retinuta, ar trebui sa contina in medie o vocala la fiecare trei caractere, sa nu fie case sensitive, si nu ar trebui sa contina caractere speciale sau semne de punctuatie. In aceste conditii, un caracter al parolei contine 2 biti de informatie aleatoare. O parola tipica de 8 caractere, are doar 16 biti de date aleatorii, facand-o vulnerabila unui atac de ghicire a ei off-line, unde fiecare combinatie de caractere este incercata pana se gaseste cea buna. Sistemele de autentificare bazate pe parole, sunt in general susceptibile urmatoarelor tipuri de atacuri: un eavesdropper o poate afla daca aceasta nu este criptata ascultand comunicatiile, un intrus patrunde in sistem si cauta fisierul cu parole, un atacator o poate chiar ghici, un alt atacator o poate gasi incercand toate cuvintele dintr-un dictionar, un impostor poate pacali utilizatorul sa-si dezvaluie parola, o vede introdusa de utilizator, sau o gaseste in Recycle Bin.

Un pretendent isi poate demonstra identitatea aflandu-se in posesia unui token. Un token este un obiect fizic – poate fi o o cheie fizica, un permis de conducere, un card, o legitimatie de angajat, un dispozitiv electronic. Token-urile sunt folosite impreuna cu sistemul de parole pentru a asigura un nivel mai inalt de securitate. Astfel, parola este folosita pentru a debloca token-ul care este astfel accesibil sistemului de autentificare.

Biometrica se asigura de identitatea pretendentului printr-un mijloc masurabil fiziologic, comportamental sau alte caracteristici specifice. Biometricile sunt si ele folosite numai impreuna cu alte mecanisme de autentificare. Un astfel de sistem de autentificare pentru intrarea intr-o cladire, de exemplu, ii poate cere angajatului sa apese cu aratatorul pe o placuta de sticla, sa-si depuna geanta pe o banda rulanta si i se poate cere si un PIN. Iata o lista cu dispozitive biometrice in ordinea descrescatoare a eficientei lor:

Tiparul retinei

Amprenta digitala

Amprenta mainii

Amprenta vocala

Tiparul tastarii (in functie de frecventa unica cu care o persoana tasteaza)

Semnatura (se analizeaza caracteristicile unice ale unei semnaturi de mana).

Puterea unui sistem de autentificare depinde in mare parte de capacitatea infrastructurii sale de a stoca o cheie criptata lunga si de a face operatii de criptare si decriptare. Un om nu are nici una dintre acestea. Daca o infrastructura nu suplimenteaza aceste calitati pentru un utilizator uman, atunci un sistem de autentificare se poate baza doar pe parole scurte pentru identificarea utilizatorilor. Telefoanele sunt exemple de infrastructuri care nu au calitatile de mai sus.

Daca un om are acces la un dispozitiv smart, cum ar fi un computer sau un card smart, sistemul de autentificare poate folosi protocoale de autentificare mai elaborate pentru a verifica cererea pretendentului. Aceste protocoale pot declansa operatii criptografice complexe si poate folosi chei criptografice lungi pentru a se opune atacurilor legate de comunicatie.

Un protocol de genul provocare-raspuns ii permite unui pretendent sa se autentifice demonstrand cadetine o cheie criptografica care nu necesita dezvaluirea niciunui secret. Sistemul autentificator ii prezinta pretendentului un numar generat aleator numit provocare. Pretendentul introduce acest numar intr-o funtie criptografica care calculeaza un raspuns. Sistemul il identifica pe utilizator in functie de raspunsul primit. Deoarece provocarea este un numar generat aleator, acest tip de protocol asigura un mijloc de protectie eficient impotriva replay-ului.

In cadrul protocolului de parole transformate, un pretendent proceseaza parola printr-o functie hash si trimite rezultatul sistemului de autentificare. Acesta compara rezultatul cu valorile sale stocate in memorie si in functie de rezultat identifica utilizatorul sau nu. Daca sistemul stocheaza parole in loc de rezultate, trebuie sa calculeze rezultatul inainte de a face comparatia. Acest tip de protocol impiedica parolele sa fie descoperite de eavesdropper-i, dar ele raman totusi vulnerabile replay-urilor.

Protocolul parolelor folosibile o singura data este o imbunatatire adusa protocolului de parole transformate adaugandu-i acestuia si protectie impotria replay-urilor. Acesta presupune ca pretendentul si sistemul autentificator sa stocheze in comun un numar n. Pretendentul isi trece parola prin functia hash de n ori pentru a crea o parola care poate fi folosita o singura data, care poate fi recunoscuta de sistemul de autentificare. Dupa o autentificare reusita si pretendentul si sistemul de autentificare trebuie sa scada n-ul cu o unitate. Pentru a fi eficient, acest protocol trebuie sa reseteze n-ul odata ce a ajuns la 0. Sistemul S/KEY, produs de Bellcore (http://www.bellcore.com), foloseste acest protocol de autentificare.

Autorizarea, sau cum i se mai spune serviciul de control al accesului, se impotriveste accesului necorespunzator sau neautorizat la date sau la resursele computerului – autorizarea stabileste ce are voie sa faca un utilizator si ce nu. Termenul acces se refera la citirea datelor, scrierea datelor, executarea unui program, sau la folosirea resurselor hardware, cum ar fi o imprimanta. Un sistem de securitate de obicei trebuie sa autentifice un utilizator pentru ai determina drepturile de acces. Serviciul de autentificare previne sistemul impotriva penetrarilor si a violarilor de acces.

Confidentialitatea, sau secretizarea, se asigura ca datele nu sunt dezvaluite personalului neautorizat. Datele pot fi stocate pe computer sau pot fi in tranzit de la un computer la altul din retea. Serviciul de confidentialitatea protejeaza datele impotriva monitorizarii comunicatiilor. Ea poate fi end-to-end sau link-by-link, depinzand de nivelul de retea la care au fost protejate. La confidentialitatea end-to-end, datele raman protejate de-a lungul intregii comunicari, din momentul in care pleaca de la sursa pana cand ajunge la destinatie. In timp ce la confidentialitatea link-by-link, datele sunt protejate cu putin inainte de a fi fizic transmise – astfel devine o parte a procesului de comunicare, adesea invizibil utilizatorului. Cand datele criptate link-by-link se misca prin mai multe noduri ale retelei, fiecare nod al retelei inlatura protectia lor si le retransmit punandu-le un nou tip de protectie dupa noi parametrii. Astfel la fiecare nod datele sunt neprotejate si expuse atacurilor.

Confidentialitatea nu se limiteaza doar la protejarea datelor – informatiile se pot scurge si in alte moduri. De exemplu, un eavesdropper poate monitoriza numarul si marimea pachetelor transmise de la sursa la destinatie chiar daca acestea sunt protejate. Confidentialitatea traficului protejeaza impotriva scurgerilor de informatii, protejand header-ul pachetelor trimise. Confidentialitatea link-by-link furnizeaza acest serviciu de confidentialitate a traficului, pe când cea end-to-end nu.

Cand se protejeaza datele, cateodata este necesar sa protejam mai mult anumite campuri ale datelor. Protocolul SET pentru comertul electronic, de exemplu, protejeaza numarul cartii de credit a clientului in asa fel incat comerciantul nu poate vedea acest numar, ci doar banca il poate vedea. Acestor masuri de siguranta se regasesc in confidentialitatea selectarii campurilor.

Integritatea protejeaza impotriva modificarii mesajelor, duplicarea lor, inserarea nedorita a unor caractere in mesaje, stergerea partiala sau integrala a unui mesaj, sau rearanjarea paragrafelor intr-un mesaj. Integritatea datelor protejeaza si impotriva crearii sau a reluarii unui mesaj mai vechi. Acest tip de serviciu este un bun remediu pentru tampering si replay.

Integritatea datelor este cea mai importanta, cateodata chiar mai importanta decat confidentialitatea. Comunitatea financiara, spre exemplu, protejeaza de mult timp tranzactiile electronice interbancare de schimburi de fonduri cu servicii de integritatea dar fara sa ofere si confidentialitatea acestora.

Serviciul de ne-respingere (non-repudiation) protejeaza impotriva anumitor parti care dupa terminarea unei comunicatii se dau drept utilizatori autorizati. Astfel o entitate poate nega amestecul intr-o convorbire sau poate din cauza unei erori a sistemului poate nega apartenenta la acesta. Astfel un sistem poate dezaproba continutul unei tranzactii mai vechi, timpul acesteia, sau chiar identitatea celuilalt sistem.

Serviciul non-repudiation aduna dovezi de necontestat in timpul unei comunicari pentru a preintampina astfel de evenimente. Doua tipuri de baza ale non-repudiation sunt cea de origine si cea de livrare. Non-repudiation de origine aduna dovezi despre identitatea sursei mesajului, continutul mesajului, si optional timpul si data de transmitere a mesajului, cat si identitatea destinatarului. Astfel sursa nu poate contesta ulterior netrimiterea mesajului. Non-repudiation de transmitere aduna informatii despre identitatea destinatarului, continutul mesajului, si optional timpul si data transmiterii mesajului. Astfel se protejeaza sursa in cazul in care destinatarul nu recunoaste desfasurarea comunicarii. Criptarea, semnatura digitala si semnatura arbitrara sunt principalele mecanisme folosite pentru a implementa serviciul non-repudiation.

Disponibilitatea asigura ca un computer, datele, componentele hardware si resursele software sunt disponibile utilizatorilor autorizati impedimente si intreruperi. Un computer sigur si disponibil trebuie sa se restabilizezez rapid si complet dupa producerea unui dezastru. Acest tip de serviciu protejeaza impotriva atacurilor de tip DoS. Doua metode fundamentale de a obtine disponibilitatea unui sistem sunt prudenta administratorului de sistem si robustetea designului sistemului.

3.3. Malware

Orice lucru bun are și parti negative, iar internetul nu face nici el exceptie de la aceasta regula. Ar fi fost prea frumos daca, pe langa cantitatea imensa de informatii, mijloace de comunicare si multe alte avantaje, nu si-ar fi facut loc si rele, ca virusii sau mesajele nesolicitate. Din acest punct de vedere, internetul poate fi vazut ca o oglinda a unei societati in care traiesc oameni cinstiti, cu respect pentru valorile sociale, incluzand aici atat normele juridice, cat si cele morale, dar si indivizi rauvoitori si infractori. Corespondentii celor din urma sunt cei care se fac raspunzatori pentru infractiunile online si crearea atat de temutilor virusi.

Termenul malware, prescurtarea de la software rauvoitor, se refera la orice fel de program sau bucata de cod, cum ar fi virusii, troienii, dropperii. Nu toate programele sau linii de cod rauvoitoare sunt virusi. Totusi, virusii ocupa primul loc in topul malware, incluzind in aceasta categorie si viermii. Datorita multiplelor fatete ale courilor rauvoitoare, termenul malware ajuta la inlaturarea confuziei, de exemplu, un virus care detine si capabilitati de troian poate fi numit malware.

La modul generic, virusii, sunt programe capabile de a se inmulti rapid, cu efecte care variaza de la afisarea de mesaje sau imagini ori rularea unor melodii pana la stergerea anumitor fisiere, formatarea harddisk-ului sau scaderea performantei sistemului prin ocuparea (fara motiv) memoriei. In functie de modul de infectare, de propagare sau de producere a efectelor, virusii se impart in mai multe categorii, dintre care amintim: virusi de fisiere (altereaza programul de initializare a calculatorului), virusi multipartitie (hibrizi ce infecteaza atat sectorul de boot, cat si fisierele executabile), de macro (infecteaza documentele Microsoft Office), polimorfici (prezinta doua caracteristici importante: criptarea codului si automodificarea, fapt care face mult mai dificila detectarea lor), virusi de tip troian (sunt ascunsi in interiorul unor programe si au un scop determinat) si asa-numitii worms (viermi).

Acestia din urma reprezinta principala amenintare cand vine vorba de virusi. Si asta, avand in vedere atat viteza uluitoare de inmultire si propagare, cat si efectele pe care acestia le au. Principalul mijloc de propagare a viermilor il reprezinta mesajele electronice. Ei sunt cuprinsi in corpul fisierelor atasate la e-mail si au, de obicei, urmatoarele extensii: .bat, .com, .exe, .vbs, .pif sau .scr. Aceasta nu este insa o regula general valabila, extensia putand fi schimbata intr-una care sa ridice mai putine suspiciuni, cum ar fi .zip. In acest caz, utilizatorul, convins ca este vorba despre o inofensiva arhiva, va incerca imediat sa o deschida si sa vada ce contine. Un alt indiciu ca fisierul atasat ar putea fi un vierme este dubla extensie. Spre exemplu, un fisier de genul “name.txt.exe” are sanse mari sa contina un vierme.

Odata executat fisierul infectat, viermele va cauta o metoda de a se perpetua. In acest scop poate scana intreg harddisk-ul in cautare de fisiere care sa contina adrese de e-mail sau poate trimite mesaje cu fisiere infectate la toate adresele din agenda clientului de e-mail, unii viermi modificand headerul mesajului la care se autoataseaza, pentru a ingreuna descoperirea calculatorului infectat. Aceasta este, de fapt, principala deosebire dintre viermi si restul virusilor (inmultirea si raspandirea). In timp ce virusii depind de un fisier sau de un sector de boot si de copierea pe alte sisteme o data cu fisierul infectat, viermii sunt complet autonomi.

Pentru a patrunde intr-un sistem viermii profita de gaurile de securitate din programe sau din sistemele de operare. Odata intrati, acestia incep sa isi produca efectele. Acestea pot fi incetinirea vitezei de rulare a sistemului de operare; ocuparea latimii de banda a conexiunii la internet; stergerea, copierea sau inlocuirea unor fisiere; preluarea controlului asupra sistemului de operare. Acestea sunt efectele pe care un vierme le poate avea asupra calculatorului infectat, dar de obicei scopul principal este lansarea unui atac concentrat asupra anumitor servere la care participa toate calculatoarele contaminate.

Pentru a intele mai bine modus operandi-ul unui vierme, vom analiza in cele ce urmeaza comportamentul unor “viermi celebri”.

CodeRed este un vierme care s-a facut remarcat mai ales prin atacul asupra site-ului oficial al Casei Albe din august 2001. Acesta se raspandeste prin serverele IIS (Internet Information Service) printr-un atac de tip “buffer overflow” (eroare de limita in Windows Internet Naming Service). Imediat dupa instalare, creeaza 100 de fire de executie, din care 99 au ca scop infectarea altor calculatoare, iar ultimul verifica daca gazda este un sistem Windows NT/2000. Infectarea se realizeaza prin generarea aleatorie de adrese de e-mail, urmata de verificarea autentificitatii si a eventualei apartenente la un server IIS. Astfel, se creeaza un trafic intens intre calculatoarele infectate, ajungandu-se la un atac de tip DDoS (Distributed Denial of Service). Pagina de web a serverelor atacate va afisa urmatorul mesaj: “Welcome to http://www.worm.com! Hacked by Chinese” timp de 10 ore, dupa care virusul se dezafecteaza.

La inceputul acestui an si-a facut aparitia un nou vierme, denumit MyDoom. Si acesta se raspandeste sub forma unui atasament la e-mail, cu una din urmatoarele extensii: .bat, .exe, .scr, .pif, .cmd, .zip. In momentul executarii sunt create fisierele “shimgapi.dll”, “taskmon.exe” si “Message”. Simultan, sunt modificati registrii pentru a permite pronirea odata cu sistemul de operare. Urmeaza cautarea fisierelor care contin adrese de e-mail si expedierea altor mesaje cu atasamente virusate la adresele gasite. MyDoom se raspandeste si prin intermediul retelei Kazaa, utilizand una din urmatoarele denumiri: winamp5, icq2004-final, rootkitXP, activation_crack, strip-girl-2.Obdcom_patches, office_crack, nuke2004, cu extensie .bat, .exe, .scr sau .pif. Dupa infectare, este creat un backdoor care deschide proturile TCP de la 3127 la 3198, facilitand conectarea de la distanta si utilizarea ca proxy a sistemului infectat. In acest fel au fost executate atacuri de tip Denial of Service intre 1 si 12 februarie 2004.

Cunoscand modul de operare al viermilor, se pot elabora diverse strategii de prevenire a infectarii. Este adevarat ca un antivirus rezident in memorie si actualizat des si/sau un firewall nu strica, dar este important ca toti utilizatorii, indiferent de nivelul de cunostinte, sa stie ce trebuie si ce nu trebuie facut pentru a evita eventualele necazuri cauzate de acesti virusi.

Cum Internetul reprezinta principalul mijloc de propagare a viermilor, un rol foarte important in prevenirea infectarii il are tipul de utilizare al programelor care folosesc in mod direct Internetul (clienti de e-mail, de chat sau de browsere).

In primul rand, este esential modul de gestionare a atasamentelor in clientii de e-mail. Fisierele atasate nu trebuie, sub nici o forma, deschise direct, ci salvate intr-un director si ulterior scanate cu un antivirus actualizat la zi (valabil pentru toate fisierele descarcate de pe Internet).

In al doilea rand, trebuie impiedicata rularea automata a script-urilor Visual Basic si a componentelor ActiveX (dezactivarea acestora din urma poate duce la afisarea incorecta a anumitor pagini). Pentru Internet Explorer acest lucru poate fi realizat prin modificarea optiunilor de securitate din Tools, Internet Options, Security. In cazul Outlook Express, componentele ActiveX incluse in mesajele html pot fi dezactivate prin selectarea optiunii “Restricted sites zone”, de la Tools, Options, Security, Virus Protection.

De asemenea, este important ca extensiile fisierelor sa fie vizibile (in mod implicit, Windows ascunde extensiile cunoscute). Unii viermi folosesc dubla extensie in scopul de a masca fisierele executabile (cele mai susceptibile de a fi virusate). In Windows Explorer, View, Folder Options, la tab-ul View se deselecteaza optiunea “Hide file extensions for known file types”.

4. VIRUȘI

4.1 Clasificarea virușilor

Virusii pot fi împărțiți în clase după următoarele caracteristici:

mediul în care se află;

sistemul de operare preferat;

diferiții algoritmi de funcționare;

capacitățile lor distructive.

Sa nu uitam ca mai sunt si alt fel de programe dăunătoare, așa numitele malware, cum sunt troienii.

După mediul în care se afla virușii pot fi împărțiți în următoarele categorii:

de fisiere;

de sector de boot;

de macro;

de retea.

Totuși, exista si un mare numar de combinatii de virusi, spre exemplu, virusii multipartitie, care sunt o combinatie de virusi de fisiere si virusi de sector de boot. Acesti virusi au algoritmi de functionare foarte sofisticati, si de obicei folosesc metode neconventionale de intrare in sisteme, folosindu-se de tehnologii Stealth sau polimorfice. Un alt exemplu il reprezinta un virus de macro si de retea, care nu infecteaza doar documentele nou create, dar si trimite copii ale sale prin intermediul emailului in retea.

Sistemul de operare tinta, adica sistemul de operare specific pentru care virusul este cel mai probabil sa-l atace, reprezinta al doilea criteriu de impartire a virusilor in clase. Fiecare virus de retea sau de fisier infecteaza fisierele unuia sau a mai multor sisteme de operare (DOS, Windows 95, NT, …, OS/2, Linux). Virusii de macro infecteaza fisiere cu format specific aplicatiilor de tipul MS Office, cum sunt Word, Excel, Access. Virusii de sector de boot sunt deasemenea orientati pe format, fiecare atacand un format particular de date sistem ale sectorului de boot.

Dupa algoritmii de functionare se remarca urmatoarele trasaturi:

capabilitati TSR;

folosirea algoritmilor Stealth;

propria criptare si capabilitati polimorfice;

folosirea unor tehnici non-standard.

Un virus TSR, in timp ce infecteaza un coputer, ramane resident in memoria RAM, care apoi intercepteaza RPC-uri in care se integreaza. Virusii rezidenti in memoria raman activi pana cand sistemul a fost oprit sau pana cand sistemul a fost restartat. Virusii care nu sunt rezidenti in memorie nu afecteaza memoria computerului, si raman activi pentru o perioada de timp limitata. Unii virusi lasa in urma lor mici bucati rezidente in memorie, dar care nu raspandesc virusul. Astfel de virusi nu intra in categoria virusilor rezidenti in memoria RAM. Virusii de macro pot fi considerati si ei rezidenti, deoarece raman in memoria computerului atata timp cat ruleaza aplicatia infectata. Aici aceasta aplicatie joaca rolul sistemului de operare, si restartarea sa inseamna inchiderea aplicatiei.

In sistemele de operare multitasking, durata de viata a unui virus rezident in DOS poate fi limitata de momentul inchiderii ferestrei de DOS infectata, si activitatea unui virus de sector de boot este uneori limitata de reinstalarea sistemului de operare.

Folosirea algoritmilor Stealth permite virusilor sa-si ascunda partial sau total urmele in interiorul sistemului de operare. Cel mai comun algoritm stealth este interceptarea apelurilor citire/scriere ale sistemului de operare catre fisierele infectate. In astfel de cazuri, virusii stealth se curata temporar sau se inlocuiesc cu bucati de cod neinfectate, asa cum face virusul Frodo. In cazul virusilor de macro, cea mai populara tehnica este dezactivarea meniurilor ViewMacro, asa cum face virusul Brain.

Capacitatea de criptare si polimorfie proprie sunt folosite aproape de toti virusii pentru a face procedura de detectie cat mai dificila cu putinta. Virusii polimorfici sunt foarte greu de detectat, ei nu au semnaturi, adica nici o bucata din codul lor nu ramane nesachimbata. Im majoritatea cazurilor, doua versiuni ale aceluiasi virus polimorfic nu au nimic in comun facand o comparatie a bitilor. Aceasta poate fi facuta criptand codul virusului si facand anumite modificari modulului de decriptare. O mare varietate de tehnici non-standard sunt folosite de virusi pentru a se ascunde cat mai adanc in kernelul sistemului de operare sau pentru a-si proteja de la detectie copia rezidenta in memorie.

In functie de capacitatile distructive ale virusilor acestia pot fi:

inofensivi, care nu au nici un efect asupra computerului (poate doar ocuparea inutila a spatiului);

nepericulosi, limitandu-si efectul la afisarea unor imagini sau a unor mesaje pe ecran, microrarea spatiului de stocare, auditia unei melodii;

periculosi, care pot afecta serios buna functionare a unui sistem;

foarte periculosi, care contin algoritmi de functionare care conduc la pierderi de date, stergerea de fisiere sistem.

Dar chiar daca nu se gasesc ramuri distructive in algoritmul unui virus, asta nu inseamna ca putem fi siguri ca virusul este inofensiv, datorita faptului ca odata ce a intrat in sistem acesta poate reactiona ciudat, declansand efecte nedorite si neintentionate ale virusului, care pot avea consecinte catastrofice. Asta se datoreaza faptului ca orice virus, ca orice alt program, poate contine erori, care pot afecta atat fisiere cat si sectoare de disk. Mai sunt inca virusi care determina daca un fisiere este exe sau com, nu dupa structura interna ci dupa extensie. Astfel, daca formatul fisierului nu corespunde cu extensia, fisierul nu mai poate fi utilizat dupa infectare.

4.2 Viruși polimorfici

Un virus este numit polimorfic daca nu poate sau se poate dar foarte greu sa fie detectat de un program utilitar antivirus dupa semnatura sa. Acest lucru este obtinut in doua feluri, criptand codul principal al virusului cu ajutorul unor chei de criptare care se schimba si cu seturi aleatoare de comenzi de decriptare, sau prin schimbarea codului virusului executabil. Mai exista un alt fel de virus polimorfic, mai exotic, cum este virusul de DOS Bomber, care nu este criptat, dar secventa de instructiuni care controleaza codul virusului este in intregime polimorfica.

Un motor polimorfic este un program care are capacitatea de a cripta date sau alt program si de a furniza decriptori unici pentru el, si poate face acest lucru in asa fel incat oricare doi decriptori ai aceluiasi program sa nu fie la fel. Un astfel de motor polimorfic contine un genrator de numere aleatoare, un generator de cod, si un generator de decriptori.

Virusii polimorfici pot fi diferentiati unul de altul si printr-o conventie de nivele, clasandu-le in functie de complexitatea codului decriptorilor. Acest sistem a fost introdus de Dr Alan Solomon si apoi dezvoltat de Vesselin Bontchev.

Nivelul 1: Virusii care au un set de decriptori care nu-si schimba codul, si care aleg unul atunci cand infecteaza. Acesti virusi se numes semi-polimorfici sau oligomorfici. Exemple: Cheeba, Slovakia, Whale.

Nivelul 2: decriptorul virusului contine una sau cateva instructiuni constante, restul se schimba.

Nivelul 3: decriptorul contine functii pe care nu lefoloseste,cum sunt NOP, CLI, STI.

Nivelul 4: decriptorul floseste instructiuni care-si pot schimba locul una in locul celeilalte, dar algoritmul penrtu decriptare ramane neschimbat.

Nivelul 5: toate tehnicile de la nivelele 1 pana la 4 sunt folosite, algoritmul folosit la decriptare este modificabil, este posibila criptarea repetata a virusului, cat si criptarea partiala a codului decriptorului.

Nivelul 6: virusi permutanti. Codul principal al virusului este modificat continuu, este divizat in blocuri care sunt pozitionate aleator in timpul infectarii. In ciuda acestui fapt virusul continua sa functioneze. Astfel de virusi nici nu mai au nevoie de criptare.

Nivelul 7: foloseste toate metodele de la nivelele 1 pana la 6 si in plus poate dispune si de euristici.

O astfel de clasificare a virusilor polimorfici are si unele neajunsuri, deoarece principalele criterii de clasificare sunt posibilitatile de detectie ale virusului dupa codul decriptorului cu ajutorul tehnicilor conventionale bazate pe semnaturile virusilor. Pentru primul nivel pentru a detecta un virus este suficient sa dispunem de cateva semnaturi de virusi. Pentru nivelul 2 tehnicile de la nivelul 1 impreuna cu niste wild cards. La nivelul 3 aceleasi tehnici dar dupa ce au foat indepartate instructiunile inutile, la nivelul 4 semnaturile sunt de la mai multe verisuni ale virusului, iar la nivelul 5 ajungem la imposibilitatea de a detecta virusii dupa semnaturile lor. Insuficientele unei astfel de clasificari sunt demonstrate de un virus aflat la al treilea nivel de polimorfie, care se numeste chiar Level3. Acest virus fiind unul dintre cei mai complicati virusi, intra la nivelul 3 dupa criteriile enuntate mai sus, pentru ca are un algoritm de decriptare constant, precedat de multe instructiuni inutile. Totusi, la acest virus algoritmul de generare a instructiunilor inutile este aproape de perfectiune, in codul decriptorului se pot gasi aproape toate instructiunile i8086.

Daca virusii ar fi clasificati din punctul de vedere al programelor antivirus, folosind sistemele automate de decriptare a virusilor (emulatoare), atunci clasificarea ar depinde numai de complexitatea codului virusului. Mai sunt disponibile si alte metode de decriptare, cum este decriptarea cu ajutorul legilor de baza din matematica. De aceea, pentru a face o clasificare corecta a virusilor polimorfici trebuie sa avem in vedere mai multi factori:

gradul de complexitate al codului polimorfic (un procentaj al tuturor instructiunilor procesorului, care pot fi gasite in codul decriptorului);

folosirea tehnicilor anti-emulator;

constanta algoritmului de decriptare;

constanta marimii decriptorului.

Schimbarea codului executabil este de obicei folosita de virusii de macro, care isi schimba aleator numele variabilelor, insereaza linii goale sau isi schimba in alt fel codul in timpul replicarii. De aici observam ca algoritmul de operare al virusului ramane neschimbat, dar codul virusului se schimba complet de la o infectare la alta.

Virusii de boot mai sofisticati folosesc si ei aceasta metoda. Acestia insereaza un modul suficient de mic in sectorul de boot, care citeste codul principal al virusului de pe disk si ii da controlul acestuia. Codul modulului din sectorul de boot este ales din mai multe versiuni, care sunt diluate de instructiuni inutile, sau isi poate schimba locul.

Si mai des, aceasta metoda de schimbare a codului este intalnita la virusii de fisiere, pentru ca ei trebuie sa-si schimbe codul in intregime, necesitand algoritmi pe masura complexitatii codului. Virusi de acest fel sunt Ply, care isi muta aleator comenzile din codul sau facandu-le sa para comenzi JMP sau CALL, si TMC, care foloseste un mod si mai complicat, pentru fiecare infectare virusul isi schimba locul codului si al blocurilor de date, insereaza instructiuni inutile, schimba numele variabilelor din instructiunile assemblerului, isi schimba constantele. Ca rezultat, desi acest virus nu-si cripteaza codul sursa, este polimorfic, deoarece nu are un set de comenzi constante in codul sau. Si mai mult, replicandu-se virusul isi schimba si marimea.

Generatorii polimorfici, ca si kiturile de construire a virusilor, nu sunt virusi cu drepturi depline, deoarece algoritmul lor nu contine functii de propagare, cum sunt deschiderea, inchiderea si scrierea fisierelor, citirea si scrierea sectorarelor de boot. Principala functie a unui astfel de program este criptarea codului virusului si generarea decriptorilor respectivi. Generatorii polimorfici sunt in general distribuiti de creatorii lor fara restrictii sub forma unei arhive. In fiecare arhiva de generator polimorfic principalul fisier este un obiect continand acest generator. In acest fel, daca cineva doreste sa creeze un virus polimorfic, poate sa sara peste etapa implementarii propriului sistem de criptare/decriptare. Daca doreste, isi poate lega virusul la orice generator polimorfic si poate face un nou virus. Fizic, acest lucru se obtine astfel: fisierul obiect al virusului este legat de fisierul obiect al generatorului, o procedura de apel a generatorului polimorfic este inserata in codul sursa al virusului. Acum este treaba generatorului de a crea codul de decriptare si de a cripta codul sursa al virusului.

4.3 Mecanisme stealth

Virusii stealth isi ascund prezenta in sistemul infectat. Se cunosc tot felul de virusi stealth, de toate felurile, mai putin virusi de Windows cum sunt cei de boot, de macro si de DOS. Este probabil doar o problema de timp pana cand o sa apara si primii virusi stealth de Windows.

Pentru a-si ascunde urmele virusii stealth de boot au doua metode principale. Prima dintre metode o reprezinta interceptarea comenzilor de citire ale sectorului infectat (INT 13h) si il inlocuiesc cu bucata de cod originala neinfectata. Aceasta metoda face virusul invizibil oricarui program de DOS, incluzand si programele antivirus, care nu pot curata si RAM-ul computerului. Comenzile de citire a sectorului de boot pot fi interceptate si la un nivel mai inferior decat INT 13h.

Cealalta metoda de a se face invizibili are ca tinta programele antivirus care permit comenzi de citire directa a sectorului de boot prin porturi directe de acces ale controlerului I/O. Astfel de virusi, cand orice program este rulat, inclusiv programele antivirus, refac sectoarele infectate pentru a permite programelor sa mearga, si infecteaza diskul din nou dupa terminarea programului. Virusul are de interceptat pentru aceasta deschiderea si inchiderea unui program, dar mai are de interceptat si comanda DOS de intrerupere INT 21h.

Virusii care fac doar schimbari minore fisierelor infectate, de exemplu, cand infecteaza Master Boot Record ei schimba doar adresa activa a sectorului de boot (doar 3 biti), sau impersonandu-se in asa fel incat sa para codul standard de incarcare, pot fi si ei numiti virusi stealth, dar cu cateva rezerve.

Pentru virusii macro este cel mai usor sa se foloseasca de tehnici stealth, pentru ei este suficient sa se dezactiveze din meniuri optiunile File/Templates sau Tools/Macro. Acest lucru este obtinut fie stergand aceste optiuni de meniu din lista, sau inlocuindu-le cu macro-urile FileTemplates si ToolsMacro. Exista un mic grup de virusi de macro care pot fi numiti partial stealth. Ei isi tin codul principal nu in ei insisi ci in alte parti ale documentului, in variabilele sale sau in Auto-text.

Majoritatea virusilor de fisierefolosesc aceeasi tehnica stealth ca si virusii de boot: interceptarea apelurilor DOS (INT 21h) sau curatarea temporara a fisierului infectat, cand acesta a fost deschis, si reinfectarea lui ulterioara. Ca si in cazul virusilor de boot si cei de fisiere pot intercepta functii inferioare, cum sunt apelurile DOS INT 25h si chiar INT 13h, pentru a deveni stealth.

Virusii de fisiere mai seriosi, care folosesc prima metoda de mai sus pentru a-si ascunde urmele, sunt de obicei greoi, deoarece trebuie sa intercepteze multe functii DOS pentru operarea cu fisiere: deschidere/inchidere, citire/scriere, cautare, executare, redenumire, mai mult de atat, este necesar sa suporte mai multe tipuri de apeluri FCB si ASCII, si dupa ce au fost introduse si versiunile Windows 95/NT trebuie sa suporte si functii de operare a fisierelor cu nume lungi.

Unii virusi folosesc doar o parte a unei functii stealth. In mare parte ei intercepteaza functii DOS ca FindFast si FindNext (INT 21h, AH=11h,12h,4Eh,4Fh) si reduc marimea fisierelor infectate. Astfel de virusi nu pot fi detectati urmarind marimea unui fisier, daca acesta ramane rezident in memorie. Totusi, daca softul nu foloseste functii DOS de mai sus (asa cum face Norton Utilities), facand citiri de sector directe, atunci afiseaza marimea exacta a fisierelor infectate.

4.4 Viruși de macro

Virusii de macro sunt de fapt programe scrise in limbaje macro, care sunt incluse intr-un sistem de procesare a datelor (editoare de text). Pentru a se răspândi acesti virusi se folosesc de capacitatile limbajelor macro, cu ajutorul carora trec de la un fisier infectat la altul. Cei mai intalniti virusi de macro sunt ce care afecteaza Microsoft Word si Excel. Mai sunt si virusi de macro care infecteaza documentele Ami Pro si bazele de date Microsoft Access.

Pentru a crea virusi in fiecare sistem (editor), este necesar sa avem un limbaj macro integrat in sistem care sa aiba urmatoarele calitati:

un program macro sa fie legat la un anumit fisier;

programele macro sa poata fi copiate de la un document la altul;

un program macro trebuie sa poata lua controlul fara interventia unui utilizator (macro automat sau standard).

Editorul de text Microsoft Word, si Ami Pro, cat si lucrarile Microsoft Excel si bazele de date Microsoft Access satisfac aceste conditii. Aceste aplicatii au integrate si macro limbaje: Word – Word Basic, Excel Visual Basic pentru aplicatii. Astfel avem:

macro programe sunt legate la un anumit fisier sau pot fi integrate acestuia;

macro limbajele permit copierea fisierelor, sau mutarea macro programelor in fisiere sistem speciale sau un fisiere editabile;

macro programele, in anumite conditii (deschiderea, inchiderea), se pot activa in timp ce se lucreaza cu documentul.

Aceasta particularitate speciala a unui macro limbaj este destinata procesarii automate a documentelor in organizatiile mari sau in retele cu acces public, si permit crearea unor automatisme de editare. Pe de alta parte, facilitatile limbajelor macro, permit virusilor sa se raspandeasca. Astazi, aproape toate aplicatiile de tipul MS Word, pot fi afectate de virusi de macro. In aceste aplicatii virusii iau controlul atunci cand este deschis sau inchis un document infectat; intercepteaza functiile standard de fisier si infecteaza fisiere care nu au fost apelate pentru modificari. Majoritatea virusilor de macro sunt partial rezidenti in memorie, cum este cazul DOS-ului, unde ei raman activati si dupa ce a fost deschis sau inchis fisierul infectat, pe toata durata rularii editorului.

Majoritatea virusilor de Word cunoscuti, la activare, isi muta codul acolo unde sunt tinute toate macro-urile documentului, folosind comenzi de macro copiere cum este MacroCopy, Organizer.Copy, sau, cu ajutorul editorului macro, pe care virusul il controleaza, creaza un nou macro, in care insereaza propriul sau cod, pe care apoi il salveaza impreuna cu documentul.

La iesirea din Word, macro-urile globale (inclusiv virusii) sunt automat salvate intr-un fisier cu extensia DOT, care de obicei este normal.dot. De aceea, la o noua deschidere e editorului Word, virusul redevine activ. Apoi virusul se rescrie intr-unul sau mai multe macro-uri (de exemplu: FileOpen, FileSave, FileSaveAs, FilePrint), si, prin urmare, intercepteaza comenzile adresate fisierului. Cand sunt executate astfel de comenzi, virusul infecteaza fisierul la care se lucreaza. Pentru a face aceasta, virusul converteste fisierul in formatul Template (facand astfel posibila alterarea formatului fisierului), si apoi salvand macro-urile in fisier. In acest fel virusul intercepteaza macro-ul numit FileSaveAs, apoi toate fisierele DOC sunt infectate, daca au fost salvate prin macro-ul cu care a fost salvat si fisierul infectat. Daca este interceptat FileOpen, atunci virusul se integreaza in fisier in timp ce acesta este citit de pe disk.

Al doilea mod de infectare este folosit si el destul de des si se bazeaza pe comanda Add-in a fisierelor. In acest caz, fisierul normal.dot ramane nesachimbat, si Microsoft Word, cand este deschis, incarca virusul din fisierul sau fisierele definite ca Add-in. aceasta metoda este aproape in intregime la fel ca cea a macro-urilor globale, excluzand doar faptul ca macro-ul virusului nu se salveaza in fisierul normal.dot ci in alt fisier.

Virusii se pot integra si unor fisiere, locuind in directorul de startup, Wordul incarca automat fisiere din acest director, dar virusi din aceasta categoriei sunt foarte putini pana acum.

Metodele de propagare ale virusilor de Excel sunt similare cu cele ale virusilor de Word. Ei difera doar prin cateva comenzi de macro copiere (Sheets.Copy) si prin absenta fisierului normal.dot. in locul acestui fisier, virusi de Excel folosesc fisierele din directorul startup al Excel-ului. Sunt doua posibilitati de inserare a virusului macro intr-un document Excel. Marea majoritate a virusilor isi salveaza codul in formatul Visual Basic pentru aplicatii, totusi, sunt si virusi care isi salveaza codul in vechiul format Excel, versiunea 4.

In ciuda faptului ca se folosesc tehnologii tot mai noi in implementarea virusilor de Excel, posibilitatea de a executa macro-uri pe baza vechilor formate Excel este mentinuta pentru a sustine compatibilitatea. Din acest motiv, toate macro-urile scrise in formatul Excel 4 pot rula in versiunile noi, cu toate ca Microsoft nu recomanda acest lucru si nici nu au inclus documentatia necesara in pachetele Excel.

In cazul virusilor de Access, acestia sunt scripturi automate, care sunt apelate de sistem. Aceste scripturi pot apela dupa aceea programe macro. De aceea, cand infecteaza bazele de date Access, virusul trebuie sa inlocuiasca anumite cripturi automate si sa isi copieze macro-ul in baza de date tinta. Infectarea scriptului fara folosirea nici unui macro aditional nu prea pare posibila, datorita limbajului script care este oarecum primitiv si nu contine toate functiile necesare.

Exista si un sistem de denumire putin diferit care tebuie precizat. Scripturile de Access se numes macro-uri, macro-urile Access se numesc module, cu toate acestea vom folosi in continuare doar denumirile de script si macro.

Curatarea unei baze de date este mai dificila, decat curatarea altor virusi de macro, deoarece in Access este necesar sa dezarmam nu numai macro-ul virusului, ci si scripturile automate. Si pentru ca scripturile si macro-urile fac cea mai mare parte a lucrului in Access, stergerea si dezactivarea incorecta a unor asemenea elemente poate duce la coruperea bazei de date.

4.5 Viruși rezidenți în memorie (TSR)

Termenul de TSR – Terminate and Stay Resident – inseamna ca virusul este capabil sa isi lase o copie in memoria sistemului, poate intercepta anumite evenimente (cum sunt apelurile de disk sau fisiere) si poate rula din memorie modulele sale de infectare pentru a contamina si obiectele gasite (fisiere sau sectoare de boot). De aceea, virusii rezidenti in memorie sunt activi nu numai in timpul rularii programelor infectate, ci si dupa terminarea acelui program. Copiile rezidente ale unor astfel de virusi raman active pana la restartarea sistemului, chiar si daca toate fisierele infectate au fost sterse de pe disk. De obicei este imposibil sa scapi de un asmenea virus restaurand toate fisierele din copii de rezerva sau unitati media. Copia rezidenta a virusului ramane activa si va infecta si noile fisiere. Acelasi lucru este valabil si pentru virusii de boot, formatarea diskului cand este prezent un virus rezident in RAM nu ne scapa intotdeauna de acest virus, deoarece multi virusi rezidenti infecteaza repetat diskul chiar si dupa ce acesta a fost formatat.

In schimb, virusii care nu sunt rezidenti in memorie, sunt activi doar pentru o perioada scurta de timp – doar la inceputul rularii unui program infectat.pentru a se raspandi ei cauta fisiere neinfectate pe disk si se salveaza in ele. Dupa ce codul virusului ii da controlul programului gazda, virusul nu mai are nici o influenta asupra modului de functionare al sistemului de operare, pana cand se incepe rularea altui program infectat. De aceea, fisierele care nu sunt infectate cu virusi rezidenti in memorie, sunt mult mai usor de sters de pe disk, in acelasi timp nepermitandu-i virusului sa mai infecteze si alte fisiere.

In DOS exista doua moduri de a crea module rezidente: din driverele din config.sys, si cu ajutorul functiei KEEP (INT 21h, AH=31h sau INT 27h). Multi virusi de fisiere isi camunfleaza modul de raspandire in alt fel – procesand arii din sistem, care controleaza distributia memoriei (MCB). Acestia isi rezerva pentru folosul propriu un o bucata libera de memorie, o marcheaza ca si cand ar fi ocupata, si se autocopiaza in acel loc. Unii virusi isi insereaza copiile TSR in locuri libere din memoria tabelelor de intreruperi, memoria video, arii rezervate din DOS, memoria buffer a sistemului si HMA. Avand rezervat un bloc de memorie, virusul se autocopiaza in acel loc si isi rezerva si cateva IRQ-uri, care ii trebuie pentru a cauta alte fisiere tinta, pentru a intreprinde actiuni distructive, a crea sunete sau efecte video.

Cand infecteaza fisiere, virusii care nu sunt rezidenti in memorie scaneaza diskul cu ajutorul functiilor DOS FindFast si FindNext (INT 21h, AH=11h,21h,4Eh,4Fh) pentru a gasi fisierele tinta. Virusii rezidenti folosesc o mai mare varietate de functii DOS, infectand fisierele si cand acestea sunt apelate. De fapt acestia contin toate functiile, in conformitate cu parametrii de intrare si de iesire, dupa care este posibila determinarea numelui fisierului care este in curs de infectare (acesti parametrii sunt inregistrarile de registry din ariile de memorie afectate). Prin urmare, functiile explozive ale intreruperii 21h sunt executatea (EXEC, AX=4B00), incarcarea in memorie (AH=4Bh), cautarea (FindFast si FindNext, AH=11h,21h,4Eh,4Fh), crearea (Create, AH=3Ch), deschiderea (Open, AH=3Dh), inchiderea (Close, AH=3Eh), schimbarea atributelor (ChMode, AH=43h), redenumirea (Rename, AH=56h) si altele.

Sunt mai multe feluri in care un virus rezident in memorie poate afla daca o copie a sa este deja prezenta in memoria RAM. In prima metoda, virusul instaleaza o noua functie de intrerupere, care returneaza o valoare insemnand “Sunt aici” cand este apelata. In timpul executarii, virusul o apeleaza, si daca valoarea returnata este “Sunt aici”, atunci RAM-ul computerului este deja infectat, si nu mai sunt depuse eforturi inutile de a-l infecta din nou. In a doua metoda prin care virusii verifica RAM-ul, ei depoziteaza valoarea de recunoastere “Sunt aici” in blocuri de memorie foarte rar folositi. In timpul ulterioarelor rulari ale programelor infectate, isi verifica valoarea si nu mai apeleaza astfel modulul de recunoastere a prezentei sale. Bineinteles, mai sunt si alte feluri de a verifica daca memoria este deja infectata, cel mai simplu mod este scanarea intregii memorii pentru a-si gasi copia rezidenta.

Unii virusi de fisiere care sunt si rezidenti in memorie (creati cu ajutorul kiturilor de creare a virusilor, cum sunt VCL si PS-MPC), nu isi verifica copiile TSR asa cum ar trebui, si, la fiecare rulare a unui program infectat, ei se autocopiaza din nou in memorie. In acest caz, fie intrerupe anumite programe, fie se blocheaza din lipsa spatiului de memorie virtuala.

4.6 Virusi de fisiere

Acest grup de virusi foloseste fisierele sistem ale sistemul de operare, unul in particular sau mai multe, pentru a se raspandi. Exista posibilitatea de a incorpora un virus de fisiere practic in orice program executabil din orice sistem de operare cunoscut. Astazi, se cunosc virusi care infecteaza tot felul de fisiere executabile: fisiere cu extensiile BAT, COM, SYS, EXE. Exista deasemenea si virusi care infecteaza fisiere continand coduri sursa ale programelor, librarii de date si altele. Virusii se salveaza in interiorul datelor, dar asta se poate intampla datorita comportamentului neobisnuit al unui virus in particular, sau cand modulul distructiv al virusului a fost activat. Virusii de macro isi salveaza si ei codul in interiorul bazelor de date si al documentelor, dar acesti virusi sunt asa de ciudati incat constituie o categorie aparte.

Dupa metoda de infectare a fisierelor, virusii sunt impartiti in urmatoarele clase:

parazitari;

companion;

de legatura;

de suprascriere;

viermi;

si care infecteaza OBJ, LIB si cod sursa.

Virusii parazitari sunt acei virusi care trebuie sa schimbe continutul fisierelor tinta atunci cand trebuie sa isi copieze propriul cod in codul acestora, in timp ce fisierele respectiv sunt complet sau partial functionale. Majoritatea virusilor parazitari se salveaza la inceputul fisierului infectat, altii la sfarsitul fisierului, iar alta categorie la mijlocul fisierului. Metodele de inserare pot fi si ele diferite – mutand un fragment din fisier la sfarsitul sau, sau autocopiindu-se in anumite parti ale fisierului despre care stie ca nu sunt folosite.

Exista doua metode de incorporare a unui virus parazitic la inceputul fisierului tinta. Prima consta in copierea parti de inceput a fisierului la sfarsitul acestuia si inlocuirea ei cu codul virusului. A doua metoda consta in copierea virusului in RAM, apelarea fisierului tinta si salvarea impreuna cu acesta.

Inserarea virusului la inceputul fisierului se foloseste in cele mai multe cazuri in care se infecteaza fisiere COM si BAT. Dar se cunosc si cativa virusi care afecteaza fisierele cu extensia EXE. In timpul acestui proces, pentru ca fisierul tinta sa fie functional, virusii se curata temporar, apoi se activeaza, si asteapta terminarea programului pentru a se insera din nou la inceputul fisierului.

Cel mai primitiv mod de inserare a unui virus in mijlocul fisierului infectat este de a muta un fragment de date la mijlocul fisierului, sau de a marii fisierul inserand spatii goale in care se poate copia. Unii virusi arhiveaza fragmentul de date mutat pentru ca fisierul infectat sa nu isi schimbe marimea. Alta metoda de a insera un virus in mijlocul unui fisier se numeste caverna, cand virusul se insereaza in portiuni nefolosite ale fisierului.

Cea mai intalnita metoda de inserare a unui virus intr-un fisier este la sfarsitul acestuia. In timpul acestui proces, virusul schimba si inceputul fisierului pentru atunci cand este deschis fisierului sa fie mai intai rulat virusul. Intr-un fisier cu extensia COM, acest lucru este realizat prin schimbarea primilor 3 biti ale adresei modulului de control a fisierului. Un fisier cu extensia EXE este modificat astfel incat sa fie COM si apoi infectat ca un fisier COM. In headerul fisierelor EXE, adresa de start este schimbata (CS:IP), se mai schimba si marimea modulului executabil, sau si mai des sunt schimbate registrii pointerilor de liste (SS:SP). In executabilele Windows si OS/2 (NewEXE – NE, PE, LE, LX), campurile headerului NewEXE sunt schimbate. Structura unui astfel de header este mult mai complicata decat a unui fisier EXE de DOS, asa ca trebuiesc schimbate mai multe campuri – adresa de start, numarul de sectiuni ale fisierului, proprietatile lor. In plus, inaintea infectarii marimea fisierului creste cu un multiplu de 16 biti.

Virusii din fisierele SYS se ataseaza codului fisierului si anunta adresele modulelor de strategie si intrerupere ale fiserului infectat. Cand driverul infectat este initializat, virusul intercepteaza apelul specific al sistemului de operare, pe care il trasnsfera driverului. Apoi asteapta un raspuns, il modifica si ramane in acelasi bloc de memorie cu driverul. Un virus de acest tip este foarte periculos si foarte greu de eradicat, deoarece este incarcat in RAM la bootarea din DOS, mult mai devreme decat orice program antivirus, doar daca programul antivirus nu este si el un driver.

Mai sunt si alti virusi care infecteaza driverii sistemului, dar in alt mod. Acestia modifica headerul in asa fel incat sistemul considera ca fisierul infectat este o legatura intre doi sau mai multi driveri.

Intr-un mod similar, virusul isi poate scrie codul sau la inceputul driverului, iar daca un fisier contine mai multi driveri, poate sa se insereze si la mijlocul acestora.

Un alt mod in care un virus de fisier poate infecta este prin suprasciere. Aceasta este cea mai simpla metoda de infectare, virusul suprascrie continutul executabilului tinta cu propriul sau cod, distrugand continutul original. Fisierul executabil nu mai functioneaza si nu mai poate fi recuperat. Acesti virusi se decamunfleaza foarte repede, datorita stoparii functionarii corecte a sistemului de operare si a anumitor aplicatii. Alt fel de virus de suprascriere este acela care se salveaza in locul headerelor fisierelor EXE de DOS, care vor fi deschise (New-EXE). Cea mai mare parte a fiserului ramane neschimbata dupa infectare si continua sa functioneze corespunzator in sistemul de operare, dar headerul de DOS ramane distrus.

Un grup de virusi trebuie mentionat separat. Acest tip de virusi nu au un punct de intrare (Entry Point Obscuring – EPO). Aceasta categorie include si virusii care nu-si inregistreaza instrcutiunile de control in headerul unui fisier COM (JMP) si care nu schimba adresele de intrare in headerul fisierelor EXE. Acesti virusi inregistreaza doar instructiuni de salt la propriul lor cod aflat undeva pe la mijlocul fisierului si preiau controlul inaintea rularii codului fisierului infectat. Astfel de virusi pot ramane in stare latenta mai multi ani si se pot activa doar in anumite conditii.

Inainte de a scrie o intructiune jump la mijlocul fisierului tinta, virusul trebuie sa gaseasca adresa corecta in fisier. Daca nu o gaseste, fisiereul infectat poate deveni corupt si inutilizabil. Se cunosc mai multe feluri prin care virusii gasesc astfel de adrese in interiorul fisierelor. Primul fel consta in cautarea unei secvente de cod standard C/Pascal (cum sunt virusii mai vechi Lucretia si Zhenqxi). Acesti virusi cauta in fisier headerul modulelor standard C/Pascal si il inlocuiesc cu propriul lor cod. Un alt mod consta in urmarirea si dezasamblarea codului (CNTV, MindInfector, NexivDer). Acesti virusi incarca fisierul in memorie, dupa care il dezasambleaza si in functie de anumite conditii aleg comanda sau comenzile care vor fi inlocuite de o instructiune jump a virusului. Al treilea mod de cautare al adreselor este folosit doar de virusii TSR. Cand un program executabil incepe sa ruleze, ei intercepteaza si controleaza anumite intreruperi de procesor (INT 21h n cea mai mare parte). Cand fisierul infectat apeleaza aceasta intrerupere, isi inregistreaza codul sau in locul modulului de intrerupere a proceselor din fisier (Avatar.Positron, Markiz). Al patrulea mod de localizare a unei adrese se bazeaza pe relocare. Tabelul de relocare al fisierelor EXE se refera la adresele care trebuiesc fixate cand programul este incarcat in memorie. De obicei ariile de relocare contin un set de instructiuni destul de limitat. Virusii pot identifica aceste instructiuni, le pot inlocui cu coduri JMP_Virus si pot sterge corespondentul acestei intrari din tabelul de relocare pentru a nu corupe instructiunea de jump.

Virusii companion nu modifica fisierele infectate. Algoritmul lor de functionare include crearea unei clone a fisierului tinta, asa incat, atunci cand acest fisier este rulat, clona sa sa preia controlul. Cei mai raspanditi sunt virusii care folosesc o caracteristica de DOS potrivit careia daca intr-un director se afla si un fisier EXE si unul COM, fisierul COM este rulat primul. Astfel de virusi creaza fisiere COM companion pentru originalul EXE. De exemplu, pentru fisierul xcopy.exe este creat fisierul xcopy.com, continand virusul. Fisierul xcopy.exe ramane neschimbat. La apelarea fisierului xcopy.exe esre rulat mai intai xcopy.com, care va rula programul original dupa terminarea sa. Unii virusi nu folosesc doar optiunea COM-EXE, ei mai folosesc si optiunea BAT-COM-EXE.

Un al doilea grup de virusi companion il reprezinta cei care redenumesc fisierul tinta, memorand acest nume nou (pentru folosirea ulterioara a fisierului gazda) si isi scriu propriul lor cod pe disk sub denumirea initiala a fisierului executabil infectat. De exemplu, fisierul xcopy.exe este redenumit xcopy.exd, permitandu-i virusului sa se salveze cu numele xcopy.exe. Cand se porneste rularea lui xcopy, virusul preia controlul, apoi ii reda controlul lui xcopy.exd. De remarcat este faptul ca aceasta metoda functioneaza nu numai sub DOS dar si sub orice alt sistem de operare. Un alt grup de virusi companion este constituit de virusii care exploateaza caracteristicile comenzilor PATH din DOS. Acesti virusi fie isi salveaza codul cu acelasi nume ca cel al fisierului infectat si se pozitioneaza cu un director mai sus in calea de DOS (astfel incat sa fie gasit si rulat primul), fie muta fisierul tinta cu un director mai sus.

Viermii, in general, sunt doar o modificare a virusilor companion, dar spre deosebire de acestia nu-si dezvaluie prezenta legandu-se la vreun fel de fisier executabil. Cand se multiplica, ei doar isi copiaza codul pe alt disk sau in alt director, sperand ca aceste copii sa fie candva rulate de utilizator. De obicei acesti virusi dau copiilor lor nume speciale, cu scopul de a impinge utilizatorul sa le ruleze (install.exe, setup.exe, winstart.bat). Unii dintre acestia folosesc tehnici mai noi, cum ar fi adaugarea copiilor lor in arhive de orice tip sau adaugarea unei instructiuni de start la inceputul unui fisier BAT al sistemului.

Virusii de legatura, ca si virusii companion, nu schimba continutul fizic al fisierului infectat, dar cand fisierul infectat este rulat, ei forteaza sistemul de operare sa execute codul lor mai intai. Acest lucru este obtinut modificand campurile necesare din sistemul de fisiere al computerului. In continuare putem sa luam ca exemplu familia de virusi Dir_II, deoarece pentru marea majoritate a virusilor recenti companiile producatoare de antivirusi nu publica toate caracteristicile lor, ci doar datele de suprafata. Cand infecteaza un sistem, acesti virusi isi salveaza codul in ultimul cluster al partitiilor logice. Cand infecteaza un fisier acestia modifica doar numarul primului cluster al fisierului in care se afla in sectorul corespunzator al directorului. Noul cluster de inceput al fisierului va redirectiona orice apel spre clusterul de inceput al virusului. De aceea, marimea si continutul clusterelor fisierelor infectate raman nemodificate si exista doar un singur cod al virusului pentru toate fisierele infectate de pe o singura partitie logica.

Virusii care infecteaza librariile compilatorului si codurile sursa sunt destul de putini in comparatie cu celelalte tipuri de virusi. Cei care infecteaza fisiere OBJ si LIB isi insereaza codul in module sau librarii. Deci aceste fisiere nefiind executabile nu pot raspandi virusul. Fisierele EXE si COM, create cu ajutorul acestor fisiere OBJ/LIB sunt cele care sunt purtatoarele virusului. De aceea, raspandirea virusului se face in doua etape. In timpul primei etape sunt infectate fisierele OBJ/LIB, iar in a doua etapa, reiese virusul activat in fisiere executabile. Infectarea codului sursa al programelor este o continuare logica a metodei precedente de multiplicare. Aici virusul isi adauga codul la codul sursa al fisierului infectat. Fisierul infectat este capabil sa raspandeasca virusul mai departe, doar dupa ce a foat compilat cu compilatorul infectat.

Dupa ce a primit controlul, virusul de fisier are urmatoarele efecte:

un virus rezident in memorie verifica RAM-ul pentru a vedea daca computerul este deja infectat cu o copie a sa, si infecteaza RAM-ul daca nu a gasit o astfel de copie a sa. Un virus care nu este rezident in memorie cauta fisiere neinfectate in directorul curent si in cel radacina, dar si in directoarele din optiunea PATH, si scaneaza arborele directoarelor din partitiile logice, si apoi infecteaza fisierele gasite;

executa functiile sale aditionale, daca acestea sunt prezente: actiuni distructive, sau efecte audio sau video. Aceste functii aditionale ale unui virus rezident in memorie pot fi activate la o buna bucata de timp dupa activarea virusului, depinzand de ceasul intern al computerului, configuratia sistemului, ceasul intern al virusului sau de alte conditii. In acest caz, virusul proceseaza starea ceasului sistemului si isi seteaza propriile sale conditii, dupa ce a fost activat;

returneaza controlul programului gazda, daca acesta este prezent. Virusii parazitari, in aceasta etapa, fie curata temporar fisierul gazda, il ruleaza si apoi il infecteaza din nou, fie refac codul original al fisierului, dar nu si fisierul, aducand codul la starea initiala (de exemplu, intr-un program COM, cativa biti mai importanti sunt refacuti; intr-un program EXE, adresa de start este calculata; intr-un driver, adresele de startegie si de intrerupere sunt refacute). Virusii companion isi ruleaza programul gazda, iar viermii si virusii de suprascriere reintorc controlul DOS-ului.

Metoda de refacere a programului gazda depinde de modul de infectare al virusului. Daca virusul se integreaza la inceputul unui fisier, poate codul programului infectat tinta cu un numar de biti egal cu marimea virusului, sau poate muta un fragment de la sfarsitul fisierului la inceputul acestuia. Daca virusul sa salvat la sfarsitul unui fisier, foloseste datele salvate din codul sau in timpul infectarii pentru a reface programul. Aceste date pot fi de marimea fisierului, cativa biti de referinta in cazul fisierelor COM, sau cativa biti ai headerului in cazul fisierelor EXE. Daca un virus se integreaza intr-un fiser la mijlocul acestuia, foloseste algoritmi speciali pentru a reface fisierul, sau il lasa in stadiul in care este.

4.7. Viruși de boot

Virusii de boot de interval infecteaza sectorul de boot al unei dischete si sectorul de boot sau Master Boot Record (MBR) al unui HDD. Principiul de operare al virusilor de boot se bazeaza pe algoritmul de initializare a sistemului de operare la deschidere si reincarcare. Dupa testele hardware, de memorie si integritate a harddiskului, functia de incarcare a sistemului de operare citeste primul sector fizic de boot (care poate fi: A, CSCI, C, FDD, CD-ROM, depinzand de setarile din BIOS) si ii da controlul. In cazul unei dischete sau a unui CD-ROM, controlul este dat sectorului de boot, care analizeaza BIOS Parameter Block (BPB), calculeaza adresele sistemului de fisiere al sistemului de operare, le citeste din memorie si le executa. Aceste fisiere sistem sunt de obicei msdos.sys, io.sys, config.sys, himem.sys, sau altele in functie de sistemul de operare folosit. Daca sectorul de boot nu contine fisiere sistem functionale, acesta afiseaza un mesaj de eroare si sugereaza schimbarea sectorului de boot.

In cazul unui harddisk, controlul este dat instructiunilor din Master Boot Record. Aceste module analizeaza tabela de partitii a harddiskului, calculeaza adresele sectoarelor de boot active (de obicei acestea fiind drive-ul C:), le incarca in memorie si le da controlul. Primind controlul, sectorul de boot care este activ face aceleasi actiuni ca si cel de pe un CD-ROM prezentate mai sus.

La diskurile infectate, virusii de boot isi baga codul lor in locul programelor care au primit controlul dupa terminarea secventei de boot a sistemului. De aceea, principiul infectarii este acelasi pentru toate metodele de mai sus: dupa bootare, virusul forteaza sistemul de operare sa-l citeasca in memorie dupa care sa ii dea controlul, in locul programelor care ar fi trebuit sa preia controlul.

Infectarea dischetelor se face prin singura metoda cunoscuta: un virus rescrie sectorul de boot original cu propriul sau cod sursa. Un harddisk poate fi infectat in celputin trei moduri: un virus se rescrie in locul codului Master Boot Record sau in locul unui sector de boot la drive-ului de bootare (de obicei C:\), sau modifica adresele sectorului de boot activ in tabela de partitii a harddiskului, situata in Master Boot Record. Cand se infecteaza harddiskul, virusul muta sectorul de boot original in alt sector al diskului (in primul sector liber). Daca marimea virusului este mai mare decat marimea sectorului de boot, atunci sectorul tinta va contine doar prima parte a virusului, in timp ce restul este situat in alte sectoare, de exemplu, in primul sector neocupat.

Se cunosc mai multe metode prin care se asigura o continuitate a virusului pe disk, mutand sectorul de boot original: si anume in sectorul clusterelor libere ale partitiei logice, in sectoarele sistemului nefolosite sau rareori folosite, si chiar in sectorarele interzise ale diskului. Daca virusul continua sa se plaseze in sectoare libere ale diskului (in timp ce cauta aceste sectoare libere, virusul trebuie sa analizeze tabela de alocare a fisierelor – FAT), el marcheaza aceste sectoare din tabela de alocare a fisierelor ca fiind inutilizabile – bad (asa numiti cluster-i pseudo-bad). Cealalta metoda este utilizata de virusii din familia Stone. Acesti virusi plaseaza sectorul de boot original intr-un sector nefolosit sau foarte rar folosit, care poate fi unul dintre sectoarele harddiskului, daca sunt disponibile, intre Master Boot Record si primul sector de boot, sau pe ultimele sectoare ale directorului radacina la unele dischete.

Unii virusi isi inregistreaza codul in ultimele sectoare ale harddiskului, deoarece aceste sectoare sunt folosite numai atunci cand harddiskul este complet plin cu informatii (lucru care se intampla destul de rar, avand in vedere si posibilitatile de stocare ale harddiskurilor moderne). Totusi, acesti virusi conduc la stricarea sistemului de fisiere al sistemului de operare OS/2, care, in anumite conditii, tine sectorul de boot activ si datele sistem in ultimele sectoare ale harddiskului.

Metoda salvarii restului de virus in afara diskului este intalnita mai des. Acest lucru se obtine in doua moduri. Primul mod consta in micsorarea marimii partitiilor logice: virusul sustrage numerele necesare din campurile respective ale sectorului de boot BPB si ale tabelei de partitii a harddiskului (in cazul in care harddiskul este cel infectat), micsorand astfel marimea partitiei logice, si inregistrandu-si codul in locurile astfel create. Al doilea mod este inregistrarea datelor in afara partitiei fizice a unui harddisk. In cazul unei dischete, pentru a obtine rezultatul dorit, virusul trebuie sa formateze inca doua track-uri (metoda numita formatarea non-standard), de exemplu al 80 track de pe o discheta de 1.2Mb sau 1.4Mb. Mai sunt virusi care isi scriu codul lor sursa in afara limitelor disponibile ale capacitatii unui harddsik, daca desigur, acest lucru ii este permis de hardware. Desigur ca mai sunt si alte metode de plasare a unui virus pe diak, de exemplu, familia de virusi Asuza un incarcator de MBR standard in codul lor si, dupa infectare, se inregistreaza in locul Master Boot Record dar fara a se salva.

Cand infecteaza, majoritatea virusilor copiaza informatiile sistemului de incarcare original (pentru MBR aceste informatii sunt tabele de partitii ale diskului, pentru sectorul de boot al dischetelor este BIOS Parameter Block) in codul incarcatorului sau. In alta situatie, sistemul nu ar mai putea sa se incarce, deoarece adresele de disk ale componentelor sistemului se calculeaza dupa aceste informatii. Astfel de virusi pot fi usor stersi prin suprascrierea codului programului care incarca sistemul de operare din sectorul de boot sau din MBR. Pentru aceasta, este necesara bootarea de pe o discheta neinfectata si folosirea comenzii SYS pentru a dezactiva partitiile logice ale harddiskului, sau FDISK/MBR pentru a curata Master Boot Record.

Mai multi virusi 100% stealth nu salveaza aceste informatii si chiar le cripteaza intentionat. Cand sistemul de operare sau alt program apeleaza sectoarele infectate, virusii se inlocuiesc cu codurile originale neinfectate, si sistemul de operare booteaza fara probleme; dar curatand MBR cu ajutorul comenzii fdisk/mbr duce la pierderea informatiilor despre partitii din tabela de partitii a diskului. Daca se intampla asta, diskul poate fi refacut fie reformatand cu riscul pierderii tuturor informatiilor, fie refacand manual tabela de partitii a diskului, care ce un grad mare de cunoastere a computerelor.

Trebuie sa mai mentionam ca virusii de boot foarte rar pot coexista pe acelasi disk, deoarece ei folosesc aceleasi sectoare de disk pentru stocarea propriului lor cod. De aceea, codul primului virus este distrus dupa ce a fost inlocuit cu un alt virus, si sistemul fie nu mai booteaza corespunzator, fie este prins intr-un cerc continuu, care deasemenea duce la blocare.

Noile sisteme de operare folosesc direct harddiskul, trecand peste apelurile de BIOS, care blocheaza virusii si impiedica raspandirea lor, cateodata codul virusului primeste controlul dupa bootarea sistemului. De aceea, virusul March6 poate trai in Master Boot Record al unui server mult timp fara a influenta buna functionare a acestuia. Totusi, daca din intamplare se restarteaza sistemul pe data de 6 martie, atunci toate datele de pe harddisk sunt distruse definitiv.

4.8. Troienii si programele Backdoor

Troienii, sau bombele logice, sunt programe care fac ceva daunator, depinzand de circumstante; sau, la fiecare rulare a lor, distrug informatii de pe disk, duc la blocarea sistmului. Majoritatea troienilor cunoscuti sunt programe, care imita alte programe folositoare, noi versiuni ale unor programe populare sau updateuri software pentru ele. Cel mai des, ei sunt trimisi la grupurile Usenet. In comparatie cu virusii, troienii sunt mai putin raspanditi. Motivul pentru aceasta este chiar simplu: ei se autodistrug impreuna cu datele de pe disk sau isi demasca prezenta si sunt stersi de utilizatori.

Dropperii de virusi pot fi si ei considerati troieni. Ei sunt fisiere infectate intr-un anume fel care fac foarte dificila sarcina programelor antivirus de ai detecta. De exemplu, un fisier este criptat intr-un anume fel sau arhivat cu un arhivator foarte rar folosit, impiedicand programul antivirus sa-i vada continutul. Hoaxes (farsele) trebuiesc si ele mentionate. Acestea sunt programe care nu au efecte directe asupra computerelor, dar afiseaza mesaje false care sustin ca sistemul este deja afectat, sau ca va fi afectat in nu stiu ce fel; sau anunta utilizatorul asupra unui pericol care de fapt nu exista. Astfel de farse sunt cele care sperie un utilizator ca este in curs de desfasurare o formatare a harddiskului, cu toate ca aceasta nu se intampla, ca a detectat un virus in fisiere neinfectate, afiseaza mesaje ca cele pe care le afiseaza virusii si multe altele.

Programele backdoor, sau metode de administrare de la distanta, sunt programe de administrare a retelelor care permit scoaterea controlata a unui computer din retea. Programele backdoor sunt asemenea pachetelor de administrare a retelelor comerciale care sunt facute si distribuite de companiile software.

Singura trasatura a acestor utilitati care le clasifica ca programe daunatoare este instalarea si rularea foarte discreta. Cand un astfel de program a inceput sa ruleze, se instaleaza in sistem si apoi monitorizeaza sistemul fara a cere altceva si fara a trimite mesaje utilizatorului sistemului gazda. Daca il aveti deja instalat pe computer, nu puteti gasi aceasta aplicatiei in lista proceselor active, in cea mai mare parte a acestor programe. Marea lor majoritate nici macar nu isi fac simtita prezenta in sistemul dumneavoastra.

Fiind instalat pe un sistem, programele backdoor pot face orice le-a impus creatorul lor: primirea sau trimiterea de fisiere, executarea, stergerea sau denumirea fisierelor, afisarea de mesaje, blocarea tastaturii si multe altele. Prin urmare, programele backdoor pot monitoriza aproape orice activitate de pe calculatorul gazda, pot fura date de pe acesta, pot incarca si rula virusi de pe un computer aflat la distanta, pot sterge informatii.

5. DETECȚIA ȘI ELIMINAREA VIRUȘILOR

5.1 Detecția unui virus nou

În acest capitol vom discuta situațiile in care un utilizator crede ca computerul sau este infectat, dar nici un program antivirus cunoscut de el nu l-a detectat. Cum si unde te uiti dupa un virus, ce unelte se folosesc pentru aceast, si ce metode folosim? Acestea sunt intrebarile la care vom da raspuns in acest capitol.

Prima regula este – nu intra în panică, pentru ca aceasta nu foloseste la nimic. Nu esti nici prima si nici ultima persoana al carei computer a fost infectat. Mai mult, nu toate disfunctionalitatile unui computer se datoreaza unui virus. In plus, infectarea cu un virus nu este cel mai rau lucru care i se poate intampla unui computer. Nu trebuie sa intrebati companiile producatoare de antivirusi ce este de facut. Nu vor putea sa va ajute, deoarece pentru a indeparta un virus, le trebuie mai multe informatii. Daca chiar doriti sa ii ajutati, ar trebui sa le trimiteti o copie a virusului, un fisier infectat in cazul unui virus de fisiere, sau o discheta infectata in cazul unui virus de boot.

Nu uitati sa restartati computerul de pe o discheta sau CD de rezerva care nu sunt infectate cu nici un virus inainte de a rula un program antivirus, si sa folositi astfel de program doar de pe CD-uri. Acestea sunt necesare pentru protejarea sistemului de virusii rezidnti in memorie, deoarece acestia pot bloca executia unor programe sau pot infecta si fisierele dischetei. Mai mult, sunt virusi care sterg datele de pe disk daca suspecteaza ca au fost descoperiti. Acest lucru nu se aplica virusilor de macro si partitiilor cu format nou, NTFS si HPFS, dupa ce se booteaza din DOS, o astfel de partitie devine inaccesibila pentru rularea programelor.

5.1.1 Detectia unui virus TSR

Virusii se pot integra in DOS in mai multe feluri: pot sa se infiltreze intr-un driver oarecare al sistemului, in bufferul sistemului, in alte sectoare functionale ale DOS-ului (de exemplu, in listele de sectoare libere ale sistemului din tabelele de BIOS sau ale sistemului). Cea mai populara metoda de infectare a unui driver ales aleator al sistemului este atasarea codului sursa al virusului la fisierul driverului si modificarea headerului driverului. Daca este vreun driver in aceasta lista care nu figureaza si in config.sys, atunci acest driver particular poate fi un virus. Dar daca un virus se lipeste de un driver inaintea acestuia, neformand un driver separat cu propriul sau cod, atunic poate fi detectat cu una din metodele urmatoare.

Un virus care se integreaza in bufferul sistemului trebuie sa poata sa micsora numarul total al bufferelor, altfel, va fi sters de folosirile ulterioare ale sectorului respectiv al bufferului. Nu este greu de scris un program care sa calculeze numarul efectiv al bufferelor din sistem si sa-l compare cu valoarea din comanda BUFFERS din config.sys (daca config.sys nu contine comanda BUFFERS, compararea se face cu valoarea implicita din DOS). Sunt mai multe moduri prin care un virus se poate integra in tabelele sistemului si in listele de partitii din DOS. Totusi, implementarea unor astfel de metode necesita ca autorul sa aiba cunostinte temeinice ale diferitelor versiuni de Windows. In afara de asta, nu este prea mult spatiu liber in Windows, asa ca, crearea unui virus stealth de acest fel este putin probabila. Daca pana la urma un astfel de virus apare, codul sau poate fi gasit dezasamblarea fragmentelor de cod suspicioase din DOS.

Un virus se mai poate integra si intr-un program separat care este rezident in memoria sistemului sau se ataseaza unor blocuri de memorie deja existente. Un virus poate afecta fisierele rezidente ale sistemului (de exemplu, io.sys, msdos.sys, command.com), driveri instabili (ansi.sys, country.sys, ramdrive.sys). acesti virusi sunt mai greu de detectat datorita vitezei mici de raspandire, totusi probabilitatea ca un atac cu un asemenea virus sa se intample este destul de scazuta. In ultima vreme un flux crescand de virusi cu headere MCB corecte si care pacalesc sistemul de operare in asa fel incat, blocurile de memorie care contin codul virusului devin una cu blocurile de memorie care le preceda. In acest caz este mult mai dificil sa descoperim virusul – este necesara cunoasterea marimii reale a programelor din memorie, si lista vectorilor de intrerupere pe care ii intercepteaza. Dar aceasta metoda nu este prea convenabila si nu intotdeauna da rezultatele dorite. De aceea, este de recomandat o alta metoda, care simplifica detectia virusului in asemenea situatii. Se bazeaza pe urmatoarea proprietate: marea majoritate a virusilor intercepteaza cererile de intrerupere 13h si 21h, care se integreaza in mecanismul de intrerupere, pentru a cauta fisiere neinfectate sau sectoare de boot neinfectate. In acest caz, pentru a detecta virusul este necesar doar sa ne uitam prin textul (codurile limbajului de asamblare) acestor mecanisme de intrerupere (cu ajutorul avputil.com). Totusi, pentru a putea diferentia un virus de un program obisnuit, persoana respectiva trebuie sa aiba o oarecare experienta in lucrul cu virusii si cateva idei despre structura unui mecanism de intrerupere. In afara de asta, trebuie sa fim atenti pentru ca unii virusi blocheaza sistemul sau il reseteaza cand detecteaza o incercare de a le gasi codul sursa.

Se cunosc viruși care nu folosesc cererile de intrerupere ale sistemului, acestia folosesc resursele sistemului de operare pentru a infecta fisiere. Cand se cauta asemenea virusi este necesara examinarea amanuntita a schimbarilor structurii interne a sistemului de operare: lista de drivere, tabele de alocare a fisierelor, listele sistemului. Aceasta este o activitate foarte minutioasa, si avand in vedere marea varietate a sistemelor de operare, necesita o mare calificare a utilizatorului.

Desigur, exista si metode mai exotice de infectare cu virusi a memoriei sistemului, cum ar fi infiltrarea in memoria video, in HMA (High Memory Area) sau memoria extinsa (XMS, EMS). Dar majoritatea virusilor nu s-au rezumat numai la folosirea acestei metode, mai degraba folosind-o pe aceasta impreuna cu o metode de mai sus. Desigur ca mai exista si monstrii care folosesc moduri de protectie i386 sau mai mari. Din fericire, acest tip de virusi nu se impaca prea bine cu noile sisteme de operare devenind prea vizibili, sau nu folosesc tehnici stealth.

Un virus poate scapa din spatiul de memorie rezervat functionarii sistemului de operare. Practic, toti virusii de boot si cativa virusi de fisiere se afla in afara memoriei rezervate sistemului de operare, reducand valoare lui word la (0040:0013).

Este foarte usor de detectat astfel de virusi – gasind marimea RAM-ului si comparand-o cu marimea reala. Daca in loc de o anumita valoare sistemul raporteaza valori mai mici, atunci ar trebui examinata memoria de scurta durata cu ajutorul unui assembler. Daca se vor gasi urme de cod sursa in aceste blocuri de memorie, cel mai probabil a fost descoperit virusul. Ca un avertisment, marimea memorie RAM se poate micsora si datorita folosirii memoriei extinse sau datorita intrarii in operare a unui controler al sistemului.

Un virus se poate infiltra intr-un program ca program rezident separat sau Memory Control Block (MCB) separat, sau ca parte interna a unui program rezident sau prin alipirea de un program rezident. Daca un virus se incorporeaza in aria de memorie a unei aplicatii ca un bloc nou, creandu-si prorpiul MCB, sau ca program rezident separat, atunci poate fi descoperit in timpul urmaririi unei harti pentru distributia memorie foarte detaliata, care arata adresele tuturor blocurilor MCB. De obicei, un astfel de virus arata ca un bloc de memorie separat, fara nume si interceptand una sau mai multe cereri de intrerupere (de exemplu, INT 8h, 13h, 1Ch, 21h). mai trebuie mentionat ca virusul isi poate rezerva un bloc de memorie conventionala dar si de memorie superioara (UMB).

Cel mai bun mod de a detecta un virus care se inegreaza in tabele vectorilor de intrrupere este de a cauta prin harta distributiei memoriei, care ofera o lista a programelor rezidente. O harta detaliata a memoriei contine informatii despre toate blocurile, in care este impartita memoria: adresele Memory Control Block (MCB), numele blocurilor programelor de proprietar, adresele Program Segment Prefix (PSP) ale proprietarului si o lista cu intreruperile acestui bloc de vectori de intrerupere. In cazul unui virus prezent in tabela vectorilor de intrerupere, vom primi si niste avertismente sonore din partea utilitarelor de afisare a hartii (de exemplu, avptsr.com, avputil.com).

Alta metoda, mai demna de incredere, dar care necesita si un utilizator mai avizat, este scanarea tabelei de vectori de intrerupere cu ajutorul unui disassembler. Daca se gasesc coduri sursa ale unui program acolo, considerati-l a fi codul sau fragmente din codul unui virus.

5.1.2 Detectia unui virus de boot

Ca o regula de inceput, sectoarele de boot pot tine doar programe mici, al caror scop este de a determina domeniul si marimea partitiilor logice (pentru Master Boot Record al harddiskurilor) sau pornirea sistemului de operare (pentru sectoarele de boot obisnuite). La inceput, trebuie citit continutul sectorului suspectat de a fi virusat. Diskedit din Norton Utilities sau avputil de la AVP Pro sunt cele mai bune utilitare pentru aceasta operatie. Unii virusi de boot pot fi detectati imediat prin prezenta unor insiruiri de caractere specifice (de exemplu, virusul Stoned contine: “Your PC is now Stoned!”, “LEGALISE MARIJUANA!”). Unii virusi de boot care infecteaza harddiskurile pot fi gasiti in modul opus, prin absenta unor insiruiri de caractere, care ar trebui sa fie in sectorul de boot. Astfel de siruri de caractere sunt: numele fisierelor sistem (“IO SYSMSDOS.SYS”) si mesajele de eroare. Absenta sau schimbarea unui sir de caractere din headerul sectorului de boot (sirul de caractere continand numarul versiunii de DOS sau numele companiei producatoare) poate fi deasemenea un semn de infectare cu virusi. Programul standard care incarca DOS-ul si sistemul de operare localizat in MBR ocupa mai putin de jumatate din acel sector, si multi virusi care infecteaza MBR-ul hraddiskului sunt usor de detectat prin observarea cresterii marimii codului sectorului MBR. Totusi, sunt si alti virusi, care se integreaza in programul de incarcare a sistemului de operare fara a schimba vreun sir de caractere si cu un minim de modificari aduse acestui program de incarcare. Pentru a detecta un astfel de virus, in majoritatea cazurilor, este suficient sa formatam o discheta pe un computer nevirusat, salvandu-i sectorul de boot intr-un fisier. Folosind aceasta discheta pe computerul infectat, citind si scriind cateva fisiere, si comparand sectorul de boot curent cu cel initial de pe calculatorul neinfectat. Daca codul sectorului de boot a suferit niste modificari, atunci virusul a fost detectat.

Totusi, sunt si virusi care folosesc tehnici de infectare mai complicate, de exemplu, schimband doar 3 octeti ai tabelei de partitii a harddiskului, octeti corespunzatori adresei sectorului de boot activ. Pentru a identifica un astfel de virus, este necesara o explorare mai minutioasa a sectoarelor de boot, pana la analiza completa a algortimului codului sau. Acestea se bazeaza pe faptul ca programele de incarcare standard (programe salvate de sistemul de operare in sectoarele de boot) folosesc algoritmi standard pentru incarcarea unui sistem de operare si sunt implementate in conformitate cu standardele sistemului. Dar daca harddiskul a fost formatat cu un alt program utilitar decat cele standard, atunci, la detectarea unui virus, trebuie analizat algoritmul de functionare si implementare al programului de incarcare creat de noul program utilitar.

5.1.3 Detectia unui virus de fisier

Asa cum am mai mentionat, virusii sunt impartiti in virusi rezidenti si virusi non-rezidenti. Virusii rezidenti de pana acum ieseau in evidenta mai mult pentru maiestria si gradul de sofisticare in comparatie cu virusii non-rezidenti. De aceea, vom avea in considerare cel mai simplu caz : un atac al unui virus necunoscut non-rezident. Un astfel de virus se activeaza la inceputul rularii oricarui fisier infectat, isi face de cap, da contrlul programului gazda si dupa aceea (spre deosebire de virusii rezidenti) nu intervine in functionarea fisierului gazda. Pentru a detecta un astfel de virus, este necesara compararea marimii fisierului de pe disk cu o copie de rezerva a acestuia. Daca aceasta nu este de folos, ar trebui sa se faca o comparatie a copiilor de distributie cu copiile aflate in uz. In prezent, sunt multe astfel de programe, unul se gaseste chiar in DOS, utilitatea comp.

Se mai poate examina depozitul hexazecimal al unui executabil. In cateva astfel de cazuri, este posibila o detectie imediata a prezentei unui virus prin gasirea unos siruri de caractere rezidente in codul lor. De exemplu, multi virusi contin stringuri de forma: .com, *.com, exe, *.exe, . , mz, command. Aceste siruri de caractere pot fi gasite la inceputul sau la sfarsitul fisierelor infectate.

Totusi mai exista o metoda pentru detectarea vizuala a unui virus intr-un fisier. Aceasta metoda se bazeaza pe faptul ca executabilele, codul lor sursa a fost compilat cu un limbaj de programare de nivel inalt, au structuri interne bine definite. In cazul programelor C/C++ produse de Microsoft sau Borland, segmentul de cod este chiar la inceputul fisierului, imediat urmat de segmentul de date continand o nota de copyright incepand cu numele companiei producatoare a compilatorului. Daca segmentul de date depozitat este urmat de unul sau mai multe segmente de cod atunci fisierul poate sa fie infectat de un virus. Acest lucru este adevarat pentru majoritatea virusilor, ale caror tinte sunt fisierele sistemelor de operare Windows si OS/2. La acestea, executabilele OS au urmatoarea ordine standard a segmentelor: segmente de cod urmate de segmente de date. Daca segmentele de date sunt urmate de inca un segment de cod, atunci este foarte posibil ca fisierul sa fie infectat.

Daca un utilizatr este familiarizat cu limbajul de asamblare, poate incerca sa gaseasca codul programelor suspicioase. Pentru o vizionare rapida, cele mai folositoare sunt urmatoarele utilitare: HIEW (Hacker’s View) sau avputil. Pentru o analiza mai detaliata este nevoie de software de dezasamblare – Sourcer sau IDA. Este recomandat rularea programelor antivirus si urmarirea rezultatului acestora. Sunt unele programe de blocare care nu doar intercepteaza astfel de actiuni, dar si afiseaza mesaje despre adresele de origine ale apelurilor. Descoperind un astfel de mesaj, trebuie identificat programul care l-a cauzat si trebuie analizat codul sau cu ajutorul unui program de dezasamblare. Urmarirea intreruperilor INT 13h si 21h este de obicei de mare ajutor in analiza programelor rezidente in memorie.

Metodele de detectie a virusilor de boot si de fisiere de mai sus sunt valabile pentru majoritatea virusilor rezidenti si non-rezidenti. Dar aceste metode esueaza pentru virusii care dispune si de mecanisme stealth.

5.1.4 Detectia unui virus macro

Caracteristici ale virusilor de macro sunt:

Word: imposibilitatea de a converti un fisier Word intr-un fisier care are alt format;

Word: fisierele infectate sunt de forma Template, deoarece, cand infecteaza, virusii de Word convertesc fisierele de la formatul Word Document la formatul Template;

Word: imposibilitatea de a salva un fisier in alt director al harddiskului cu optiunea SaveAs;

Excel/Word: fisiere ciudate sunt prezente in directorul de start al aplicatiei;

Excel: documentele Excel contin Sheet-uri redundante sau ascunse.

Pentru a verifica sistemul de prezenta unui infectii cu virusi, se poate folosi meniul optiunii Tools/Macro. Daca se gasesc macro-uri ciudate, ele pot apartine unui virus. Metoda respectiva nu mai este eficienta in cazul unui virus care dispune de tehnologii stealth, care dezactiveaza aceasta optiune a meniului, care in sine este suficienta pentru a considera sistemul infectat cu virusi.

Multi virusi contin erori sau nu functioneaza asa cum au fost proiectati sa o faca in anumite versiuni de Word/Excel, rezultand mesaje de erori din partea aplicatiei:

WordBasic Err = Error number

Daca apare un astfel de mesaj in timpul editarii unui nou document sau tabel, si daca cu siguranta nu folositi sau rulati unele macro-uri, atunci aceasta serveste ca semn al infectarii computerului cu un virus. Schimbari in configuratia fisierelor Word, Excel sau Windows reprezinta tot un semn al unei posibile infectii. Multi virusi schimba obiecte din meniurile Tools/Options intr-un fel sau altul – permitand sau nepermitand folosirea anumitor functii: “Prompt To Save Normal Template”, “Allow Fast Save”, “Virus Protection”. Unii virusi pun parole fisierelor dupa ce le infecteaza, si mai multi virusi creaza noi sectiuni sau noi optiuni in fisierele de configurari ale sistemelor de operare (pentru Windows – win.ini). Desigur, actiuni ca aparitia mesajelor sau a dialogurilor cu continut ciudat sau in alta limba decat cea setata de utilizator sunt semne sigure de infectare cu virusi.

5.2 Metode de curatare a virusilor

5.2.1 Recuperarea sectorului de boot

Recuperarea sectorului de boot este in cele mai multe cazuri foarte simpla si poate fi facuta cu ajutorul comenzii din DOS sys (pentru sectoare de boot ale dischetelor si a partitiilor logice aleharddiskurilor) sau cu ajutorul comenzii fdisk/mbr (pentru Master Boot Record). Desigur, se poate folosi si comanda format, dar in general merge si comanda sys. Curatarea sectorului de boot trebuie facuta doar atunci cand suntem siguri ca nu mai sunt virusi rezidenti in memoria RAM. Daca copia din RAM a unui virus nu a fost dezactivata, atunci este posibil ca virusul se infecteze repetat discheta sau harddiskul dupa fiecare curatare a sa (chiar si daca se foloseste comanda format).

Deasemenea trebuie sa fim foarte atenti cand folosim comanda fdisk/mbr. Aceasta comanda rescrie complet codul programului de incarcare a sistemului de operare si nu schimba tabela de partitii a computerului. Comanda fdisk/mbr este remediul pentru marea majoritate a virusilor de boot, totusi, daca virusul cripteaza tabela de partitii a sistemului sau foloseste metode noi de infectare, folosirea comenzii fdisk/mbr poate duce la pierderea tuturor informatiilor de pe harddisk. De aceea, inainte a rula fdisk/mbr trebuie sa ne facem siguri ca tabela de partitii a sistemului este intacta. Pentru a face asta trebuie sa bootam de pe o discheta neinfectata si sa verificam integritatea tabelei (cel mai bun program pentru aceasta verificare este Norton Disk Editor).

Daca recuperarea sectorului de boot cu ajutorul comenzilor sys/fdisk nu este posibila, trebuie sa ne dam seama de algoritmul de functionare al virusului, sa gasim sectorul de boot/MBR original si sa il mutam in locul sau de origine. Facand asta trebuie sa avem mereu in minte ca lucrul cu programele de incarcare ale sistemului de operare este foarte dificil, deoarece ajustarea incorecta a sectorului de boot sau a MBR poate rezulta in pierderea tuturor informatiilor de pe harddisk.

5.2.2 Recuperarea fisierelor

In marea majoritate a cazurilor recuperarea fisierelor infectate este destul de complicata. Aceasta procedura este imposibil de efectuat de mana fara a avea cunostintele necesare despre formatul fisierelor executabile, limbajul de asamblare. In afara de faptul ca de obicei unt infectate cateva zeci sau sute de fisiere, pentru a le curata este necesar construirea unui program antivirus propriu. Cand se are in vedere curatarea fisierelor trebuie sa urmam urmatoarele reguli:

Este necesar sa estam si sa curatam toate fisierele executabile (com, exe, sys) din toate directoarele tutror harddiskurilor computerului, indiferent de atributele acestor directoare (read only, system, hidden);

Este de preferat sa mentinem intacte atributele si data ultimei modificari a fisierelor;

Posibilitatea unei infectari multiple a unui fisier trebuie luata in calcul.

Recuperarea fisierului, in cele mai multe cazuri, este facuta dupa un anumit standard, depinzand de algoritmul de multiplicare al virusului. In mai toate cazurile, recuperarea headerului si a marimii fisierului este de ajuns.

5.2.3 Dezactivarea RAM-ului

Procedura de dezactivare a Ram-ului, ca si recuperarea fisierelor, solicita anumite cunostinte ale sistemului de operare si a limbajului de asamblare. In timpul tratarii RAM-ului trebuie sa determinam ce are de gand virusul si sa incercam sa il impiedicam sa ne impiedice el, la randul lui, sa il detectam – trebuie sa dezactivam modulele de infectare si mecanismul stealth. Pentru a face asta, este necesar sa facem o analiza completa a codului virusului, deoarece modulele de infectare si cel Stealth se pot afla in arii diferite ale virusului, pot fi duplicate si pot prelua controlul in anumite situatii.

Cand dezactivam o copie rezidenta in memorie a virusului, este imperativ sa ne reamintim ca virusi pot lua masuri speciale pentru recuperarea propriului cod (cum fac virusii din familia Yankee care se refac dupa metoda error-correcting encoding), si, in acest caz, trebuie dezactivat si mecanismul de refacere a virusului. In plus, unii virusi calculeaza CRC-ul copiei rezidente in memorie si restarteaza computerul sau sterg sectoarele de disk, daca CRC-ul calculat difera de valoarea initiala. In acest caz trebuie dezactivata si aceasta instructiune din codul virusului.

5.2.4 Recuperarea documentelor Office

Pentru a curata fisiere Word sau Excel este suficient sa salvam toate informatiile necesare cu alt format decat cel obisnuit – formatul RTF este cel mai indicat in acest scop, deoarece contine aproape toate informatiile documentului original dar nu contine macro-uri. Trebuie sa iesiti apoi din Word/Excel, sa stergeti toate fisierele Word/Excel infectate, fisierul normal.dot si toate documentele din directoarele de start ale aplicatiilor respective. Dupa aceasta puteti intra din nou in Word/Excel si va puteti recupera documentele din formatul rtf.

Ca rezultat al acestei proceduri, virusul va fi sters din sistem, si toate informatiile vor fi practic neschimbate. Dar aceasta metoda are si niste dezavantaje. Principalul dezavantaj este acela ca procesul de convertire al documentelor la formatul rtf si inapoi poate fi foarte indelungat pentru un numar foarte mare de fisiere. Mai mult, in Excel, este necesar sa facem aceasta convertire pentru fiecare Sheet in parte din fiecare document Excel separat. Un alt neajuns este pierderea macro-urilor care nu au fost infectate prin acest procedeu. De aceea, inainte de a trece la executarea procedurii de mai sus, ar trebui sa salvam textul sursa al fisierului, si apoi, dupa curatarea virusului, sa refacem toate macro-urile necesare ale originalului.

5.3 Analiza algoritmului unui virus

Cel mai bun obiect cu care se poate face analiza unui virus il reprezinta un fisier continand codul virusului. In practica, cand analizam virus de fisiere, este convenabil sa dispunem de mai multe astfel de fisiere infectate, dar nu prea mari ca marime. Este deasemenea de preferat sa avem fisiere infectate de toate tipurile (com, exe, sys, bat, NewExe). Trebuie sa mai analizam si RAM-ul, si apoi cu ajutorul unui utilitar sa marcam aria respectiva unde se afla virusul si sa facem o copei pe disk a acesteia. Daca este necesara si o analiza a sectorului de boot sau a MBR-ului, le putem copia in fisiere cu ajutorul unor programe utilitare. Cea mai buna metode de stocare a unui virus de boot o reprezinta realizarea unei imagini a diskului infectat. Pentru a crea aceasta imagine, trebuie sa formatam o discheta, sa o infectam cu virusul. Apoi trebuie sa copiem imaginea dischetei intr-un fisier (toate sectoarele, de la 0 pana la ultimul sector), si daca este necesar sa o compresam, care se realizeaza tot cu ajutorul unor programe utilitare.

Fisierele infectate sau imaginile fisierelor infectate ar trebui trimise prin email companiilor producatoare de programe antivirus. Cat timp analizam algoritmul virusului, trebuie sa cautam:

Metodele de multiplicare ale virusului;

Posibilele actiuni distructive ale virusului asupra informatiilor de pe computer;

Metodele de curatare a RAM-ului si a fisierelor (sectoarelor) infectate.

In rezolvarea acestor probleme nu trebuie sa lucram fara un disassembler sau un debugger (AFD, AVPUTIL, SotfIce, TurboDebugger sau, Sourcer sau IDA). Atat disassembler-ele cat si debugger-ele au punctele lor forte dar au si puncte slabe. Fiecare alege programul care ii place mai mult sau in care se descurca cel mai bine. Virusii mici si prea putin complicati pot fi usor curatati de comanda debug din DOS, dar nu este posibila analiza virusilor mai sofisticati si a celor polimorfici care mai dispun si de tehnologii stealth fara ajutorul unui disassembler. Daca este necesara o metoda rapida de refacere a tuturor fisierelor infectate, este suficient sa gasim inceputul unui virus cu ajutorul unui debugger si sa scoatem modulele care refac programul gazda inainte de ai da controlul acestuia (de fapt, acest algoritm este folosit atunci cand curatam virusii de pe computer). Daca este necesara o documentare mai temeinica a operarii virusului, nimic nu ne este de folos decat disassemblerele Sourcer si IDA cu capacitatile lor de a reface referintelor incrucisate. In afara de asta, trebuie sa avem tot timpul in minte faptul ca unii virusi pot bloca cu succes tentativele de cautare, si, cat timp se lucreaza cu un debugger, exista tot timpul riscul ca virusul sa preia controlul.

Pentru a analiza un fisier al virusului, trebuie sa aflam care sunt fisierele tinta ale virusului, in care parte a fisierului este salvat codul viruslui: la inceput, la sfarsit sau la mijlocul lui, si cat de bine poate acel fisier sa fie readus la forma sa originala, si in ce loc tine virusul informatiile de refacere a fisierului gazda. Cand analizam un virus de boot, principala problema este gasirea adreselor sectoarelor de boot in care virusul salveaza sectorul de boot original (doar daca virusul face o astfel de copie). Pentru un virus rezident, este necesar sa determinam fragmentul de cod care creaza o copie rezidenta a virusului, si sa calculam posibilele adrese de intrare ale vectorilor de intrerupere interceptate de virus. Mai este necesar sa determinam prin ce mijloace si in ce locuri ale RAM-ului virusul isi rezerva loc pentru copia sa rezidenta: daca virusul se inregistreaza la o adresa fixa din sistemul de operare sau sin BIOS, cum acesta micsoreaza marimea memoriei rezervata pentru DOS (un cuvant la (0000:0413)), cum creaza blocuri MCB speciale sau cum foloseste alte metode.

Sunt cazuri speciale, de fapt marea majoritate a cazurilor, cand analiza unui virus este o problema mult prea mare pentru un utilizator obisnuit, cum este, de exemplu analiza unui virus polimorfic. Dar pentru a analiza un virus de macro, este necesara obtinerea textului sursa al macro-urilor. Pentru virusii care nu se cripteaza si pentru cei care nu dispun de mecanisme stealth, acest lucru este obtinut cu optiunea Tools/Macro din meniul aplicatiei. Totusi daca virusul foloseste menanisme de autocripare si mecanisme stealth, trebuie sa folosim unelte speciale pentru a putea vedea un macro. Astfel de produse se gasesc in orice kit antivirus, dar sunt si unele utilitare separate cum ar fi Perforin, LWM, HMVS, dar care au devenit cam vechi, si nu prea mai suporta noile macro-uri.

5.4 Profilaxia infectarii unui computer

Pentru protectia impotriva virusilor de macro exista cateva tehnici si un numar de functii integrate Word si Excel, care previn infectarea cu un astfel de virus. Cel mai eficient dintre ele este functia de protectie antivirus integrata in aplicatiile Word/Excel inca de la versiunea 7.0. Cand se deschide un fisier care contine un macro, aceasta functie informeaza despre prezenta sa, si sugereaza dezactivarea macro-ului. Prin urmare, macro-ul nu numai ca este dezactivat dar nici nu mai poate fi vazut cu mijloacele proprii Word sau Excel.

O astfel de protectie este demna de incredere, dar ineficienta, daca utilizatorul foloseste macro-uri de orice fel: nu face diferenta intre macro infectat si unul care nu este infectat si se afiseaza mesaje de avertizare inaintea deschiderii oricarui fisier. Din acest motiv, protectia este uneori dezactivata, ceea ce le ofera virusilor o buna oportunitate de a infecta sistemul. In afara de asta, activarea protectiei unui fisier deja infectat nu este de folos in toate cazurile – unii virusi, odata ce au preluat controlul, cu fiecare rulare a fisierului, dezactiveaza protectia antivirus si astfel o blocheaza complet. O alta masura care poate fi luata este functia DisableAutoMacros, dar care nu impiedica executarea macro-urilor care nu sunt automate, blocand doar raspandirea virusilor care se folosesc de macro-uri automate.

Serverele cu acces general si conferintele email reprezinta principala sursa a raspandirii virusilor. Aproape in fiecare zi apar mesaje cum ca un utilizator sau mai multi au fost infectati cu un virus descarcat de pe un server ftp sau care l-au primit ca mesaj obisnuit, de la un cunoscut. De obicei, autorii virusilor isi incarca virusii pe mai multe siteuri ftp si usenet, sau trimit virusii in mai multe locuri odata, cel mai des, acesti virusi sunt camunflati ca versiuni noi sau copii pirat ale unor pachete software foarte populare (chiar si ca versiuni noi sau noi definitii de virusi pentru programele antivirus). In cazul unor atacuri de tipul negarii serviciilor, DoS (Denial of Service), mii de computere sau chiar mai multe pot fi infectate aproape simultan.

Instalarea sistemelor de computere in institutii educationale prezinta deasemenea un pericol. Daca un elev infecteaza un astfel de computer, aducandu-l pe o discheta sau alta unitate media, atunci toate computerele din acea institutie si chiar din altele sunt mai mult ca sigur infectate si ele, cat si computerele personale ale utilizatorilor retelei. Acelasi lucru se poate intampla si pentru computerele personale, daca la ele au acces un numar mai mare de persoane.

Astazi, cea mai importanta sursa de infectare cu virusi este Internetul. Marea parte a infectarilor cu virusi are loc in timpul schimbarii mesajelor in diverse formate pe Internet. Utilizatorul nestiutor primeste un fisier infectat care va cauta in agenda de adrese a utilizatorului si se va raspandi trimitand mesaje cu copii ale sale la toate adresele gasite in agenda.

Sa presupunem ca un utilizator ca este angajat intr-o conferinta email cu alti cinci utilizatori. Dupa ce a trimis un mesaj infectat toti ceilalti cinci utilizatori au deventi la randul lor infectati:

+––+

|…..|

+-+––+-+ –+–––+––––-+––––-+––––-+

+–––+ | | | | |

| V V V V

+––+<+ +––+ +––+ +––+ +––+

| | | | | | | | | |

+-+––+-+ +-+––+-+ +-+––+-+ +-+––+-+ +-+––+-+

+–––+ +–––+ +–––+ +–––+ +–––+

Dupa aceea, alte cinci mesaje infectate sunt trimise de la primii cinci utilizatori infectati, mesaje trimise la alti utilizatori neinfectati:

^ ^ ^ ^ ^

| +––+ | +––+ | +––+ | +––+ | +––+

+–-|…..| +–|…..| +–|…..| +–|…..| +–|…..|

| +-+––+-+ | +-+––+-+ | +-+––+-+ | +-+––+-+ | +-+––+-+

| +–––+ | +–––+ | +–––+ | +–––+ | +–––+

+–> +–> +–> +–> +–>

+–> +–> +–> +–> +–>

+–> +–> +–> +–> +–>

+–> +–> +–> +–> +–>

Si iata ca, la al doilea nivel de infectare avem deja 30 de computere infectate, iar intr-un interval de timp scurt, care poate fi doar de cateva minute, sute de mii de computere pot fi infectate. Acesta este cel mai raspandit mijloc de infectare cu virusi raportat de companiile producatoare de software antivirus.

Iata cateva reguli de protectie generala. Fiti foarte atenti cu programele si documentele primite din tetele publice. Inainte de executarea sau deschiderea unui astfel de fisier, verificati-l cu un program antivirus care are definitiile virusilor aduse la zi. Verificati in acest fel si mesajele primite prin email, cu toate ca virusii de email nu sunt intotdeauna detectati de programele antivirus. Pentru a proteja cat mai bine o retea si pentru a scadea riscul infectarii cu virusi, administratorul unei retele trebuie sa foloseasca mai multe metode de aparare: restrictionarea accesului unor utilizatori, stabilirea atributelor read-only sau execute-only pentru fisierele executabile si nu numai. Rularea in mod regulat a unui program antivirus este deasemenea o idee foarte buna.

Lupta impotriva pirateriei este aici acelasi lucru cu lupta impotriva virusilor, deoarece este mai bine sa cumparam software cu licenta decat sa luam pe gratis copii pirat ale programelor preferate. In acest fel, riscul infectarii computerului scade foarte mult, pentru ca aducem programe si documente pe computerul nostru din surse sigure. De aici putem sa ne dam seama si de necesitatea detinerii inei copii a sistemului de operare sau a unei imagine de rezerva a acestuia pentru a putea recupera usor un computer dupa ce a fost infectat. In cazul programelor noi care au fost piratate, daca descarcati o astfel de versiune de pe Internet, este bine sa asteptati o saptamana sau macar cateva zile pentru a vedea daca au aparut virusi noi si daca nu cumva si copia descarcata de dumneavoastra este infectata cu un astfel de virus nou. Nu uitati sa aveti tot timpul instalat un program antivirus care sa aiba in permanenta activata optiunea de monitorizare in timp real a sistemului dumneavoastra. Astfel, daca rulam un program infectat, monitorizarea activa facuta de catre programul antivirus il va detecta si va incerca blocarea acestuia si curatarea si refacerea fisierului infectat. O alta regula de protectie foarte importanta o reprezinta realizarea copiilor de rezerva a diskurilor. Costul unor astfel de copii de rezerva ale fisierelor, bazelor de date, documentelor, este mult mai scazut decat costul recuperarii informatiilor dupa infectarea cu un virus sau dupa nefunctionarea corecta a computerului. Daca nu este nevoie imediata de o bootare de un mediu de stocare media, atunci trebuie setata din BIOS ordinea de bootare a sistemului, trecand in primul rand C:, si doar dupa aceea un mediu de stocare portabil la care avem acces. Nu va bazati pe detectia virusilor cu utilitarul de BIOS, aproape toti virusii de astazi pot sa treaca prin diverse tehnici de aceasta protectie, mai mult, aceasta protectie poate detecta cateodata, daca aveti instalat ca sistem de operare o varianta de Windows, ca sistemul dumneavoastra de operare este un virus.

5.5 Programe Antivirus

Programele antivirus sunt cel mai eficient mod de lupta contra virusilor. Totusi trebuie sa mentionam ca nici un program antivirus nu poate oferi o protectie 100 % impotriva tuturor virusilor. Toate declaratiile ca si cand acest lucru ar fi posibil sunt doar trucuri de publicitate sau un semn de incompetenta. Astfel de sisteme de protectie nu exista, deoarece, pentru orice algoritm antivirus, se poate oricand propune un algoritm de contracarare a acestuia, facand un anumit virus invizibil pentru un anumit program antivirus. Din fericire si contrariul este posibil, adica pentru un algoritm al unui virus se poate gasi un algoritm care sa il neutralizeze. Mai mult, existenta sau posibilitatea existentei unui astfel de program antivirus a fost demonstrata matematic cu ajutorul unei teorii matematica, de catre Fred Cohen.

Mai este necesar sa ne familiarizam cu anumiti termeni specifici programelor antivirus:

False Positive: cand un obiect neinfectat trezeste atentia programului antivirus. Termenul opus: False Negative – inseamna ca un obiect infectat a ajuns nedetectat;

On-demand Scanning (scanare la comanda): scanarea dupa virusi se face la cererea utilizatorului. In acest fel, programul antivirus ramane inactiv pana cand il utilizeaza utilizatorul;

On-the-fly Scanning (scanarea rapida): toate procesele care se desfasoara (deschidere, inchidere, creare, citire, scriere, apelare) sunt verificate in mod continuu. In acest fel, programul antivirus este mereu activ, este rezident in memorie si verifica obiectele fara cererea utilizatorului.

Pentru a fi eficient un program antivirus trebuie sa aiba sa contina un scanner, un scanner CRC, un inhibitor de comportamente si un imunizator. Principiul de functionare al scannerului unui program antivirus se bazeaza pe verificarea fisierelor, a sectoarelor de boot si a memoriei sistemului, in cautarea unor virusi cunoscuti sau necunoscuti. Pentru cautarea virusilor cunoscuti se folosesc semnaturile acestora. O semnatura a unui virus este reprezentata de o secventa de cod constanta specifica unui anumit virus. Daca un virus nu are o semnatura constanta sau marimea semnaturii este insuficienta, se folosesc alte metode. Un exemplu de astfel de metode, este un limbaj de algoritmi care descriu toate posibilitatile secventelor de cod care pot fi intalnite in fisierele infectate cu acel virus. Aceasta metoda este folosita si pentru detectarea virusilor polimorfici.

Scanarea euristica este analiza unei secvente de instructiuni din codul care este verificat, acumularea unor statistici, si luarea unor decizii (posibil infectat, sau neinfectat) pentru fiecare obiect verificat. Deoarece scanarea euristica este doar o metoda probabila de detectare virusilor. De exemplu, cu cat procentajul virusilor detectati este mai mare, cu atat creste si numarul fisierelor neinfectate detectate ca avand virusi.

Scannerele pot fi impartite in doua categorii: generale si particulare. Scannerele generale sunt proiectate sa gaseasca si sa dezactiveze toate felurile de virusi, indiferent de sistemul de operare pentru care a fost proiectat scannerul. Scannerele specializate sunt proiectate pentru a dezactiva un numar limitat de virusi sau doar o anumita clasa de virusi, cum ar fi spre exemplu virusii de macro. Scannerele specializate pentru detectia virusilor de macro sunt de obicei cea mai buna solutie pentru protectia documentelor de tipul Microsoft Office.

Scannerele mai sunt impartite in rezidente, de monitorizare si non-rezidente, facand scanari ale sistemului doar la cerere. Scannerele rezidente asigura o mai buna protectie a sistemului, datorita reactiei lor immediate la aparitia unui virus, in timp ce scannerele non-rezidente pot detecta virusi doar cand sunt rulate.

Scannerele CRC functioneaza calculand sumele CRC (Cyclic redundancy Check – checksums) ale sectoarelor si fisierelor sistemului. Sumele CRC sunt apoi salvate in bazele de date ale programului antivirus, impreuna cu alte date ca marimea fisierelor, data ultimei modificari. La ulterioare accesari a scannerelor CRC se compara informatiile din baza de date cu valorile curente. Daca intrarea din baza de date a unui fisier difera de caracteristicile curente ale acelui fisier, scannerul CRC raporteaza o posibila infectare a fisierului.

Scannerele CRC care folosesc mecanisme anti-stealth reprezinta arme redutabile impotriva virusilor: aproape in toate cazurile virusii sunt detectati imediat dupa patrunderea lor in sistem. Aceste tipuri de scannere au si un mare dezavantaj care le fac reduc eficienta. Scannerele CRC nu pot detecta imediat dupa patrunderea in sistem prezenta unui virus ci dupa ceva timp, cand virusul deja s-a raspandit in tot sistemul. Scannerele CRC nu pot detecta virusii din fisierele nou sosite pe computer (prin intermediul email-ului, al unitatilor media, copiilor de rezerva sau al arhivelor), deoarece bazele lor de date nu au intrari si despre formatul acestor fisiere. De aceea, virusii nou aparuti, profita de aceasta slabiciune a scannerelor CRC, infectand doar fisierele nou create si deci devenind invizibile pentru astfel de scannere.

Inhibitoarele de comportamente sunt programe rezidente in memorie care intercepteaza pericolul unor potentiali virusi si avertizeaza despre prezenta lor. Asemenea pericole pot fi detectate in timpul apelurilor fisierelor executabile, in timpul scrierii sectoarelor de boot sau al MBR, in timpul incercarii unui program sa devina rezident in memorie, adica in timpul actiunilor specifice virusilor in incercarile lor de a se raspandi.

Acest tip de programe au avantajul de a putea detecta si bloca un virus din cea mai de inceput etapa a infiltrarii acestuia, care este de obicei foarte util cand un virus deja cunoscut apare repetat sa infecteze sistemul. Un dezavantaj al programelor de acest tip este ca deja se cunosc metode de evitare a inhibitoarelor si ca ele raporteaza si foarte multe alarme false, care le fac total nepopulare printre utilizatori.

Imunizatoarele sunt de doua feluri: cele care avertizeaza o infectie si cele care blocheaza incercarile unui anumit virus de a se infiltra in sistem. Imunizatoarele de primul fel sunt de obicei atasate la sfarsitul fisierelor, asa cum fac si virusii, si la fiecare deschidere a fisierului ii verifica integritatea. Acest tip de programe au un singur dezavataj, care este de obicei fatal: incapacitatea de a stopa raspandirea si infiltrarea unui virus care dispune de tehnologii stealth. Al doilea tip de imunizatoare protejeaza sistemul de infectarea cu un anumit virus. Fisierele sistemului sunt in asa fel modificate astfel incat un virus considera ca acestea sunt deja infectate. Pentru protectia impotriva virusilor rezidenti, un mic program rezident este plasat in memoria sistemului, virusul cand il descopera crede ca sistemul este deja infectat.

Calitatea programelor antivirus este data de urmatoarele:

Siguranta si inlesnirile pe care le ofera – absenta problemelor tehnice ale programului, si utilizarea cat mai usoara de catre orice fel de utilizator;

Calitatea detectarii tuturor tipurilor de virusi, scanarea in interiorul documentelor si al arhivelor. Absenta alarmelor false, abilitatea de a curata obiectele infectate. Pentru scannere abilitatea de a se imbunatati baza de date cu noi definitii de virusi si noi algoritmi de detectare;

Disponibilitatea adaptarii programului antivirus pentru mai multe sisteme de operare diferite, capacitatea de monitorizare activa, capacitatea de a rula si pe serverele retelelor;

Viteza de lucru si alte optiuni si functii folositoare.

Cel mai important criteriu ramane increderea care o avem in programul antivirus, daca acesta nu este in stare sa termine cu succes o scanare a intregului sistem, atunci nu este prea bun. Acelasi lucru este valabul si pentru un antivirus care necesita cunostinte mai aprofundate in domeniul computerelor de la utilizator.

Calitatea detectarii virusilor este urmatorul criteriu in ordinea importantei, chiar mai important decat posibilitatea sa de a rula pe mai multe platforme. Totusi, daca un antivirus cu mari capacitati de detectie raporteaza si multe alarme false, atunci eficienta sa scade simtitor. Capacitatea unui program antivirus de a rula pe mai multe platforme este urmatorul lucru pe lista, dupa care urmeaza monitorizarea activa a intregului sistem si viteza sa.

5.6 Programe Firewall

Un firewall reprezinta orice fel de componenta, software sau hardware, care impiedica unui utilizator neautorizat sa intre intr-u sistem. De obicei firewall-urile se bazeaza pe scheme si reguli de functionare care sorteaza adresele dorite si nedorite.

Cele mai importante componente ale unui firewall nu sunt nici software nici hardware, ci sunt in mintea persoanei care la implementat. Un firewall este mai degraba un concept decat un produs, deoarece este doar o

idee in mintea programatorului despre cine si in ce conditii este lasat sa intr intr-un sistem. Astfel un firewall este compus dintru-un pachet software si de obicei si o compnenta hardware. Componenta hardware este reprezentata de un router, care au posibilitati de securizare foarte ridicate, putand in primul rand sa filtreze adresele IP.

Exista mai multe tipuri de firewall, si fiecare tip are avantajele si dezavantajele sale. Cel mai des intalnit tip de firewall este un firewall de retea. Firewall-ul de retea este de obicei concentrat intr-un router, care filtreaza pachetele care intra in retea. Intr-o implementare printr-un router a unui firewall, adresa sursa a fiecarui pachet este examinata. Dup ce fiecare adresa IP a fost identificata, se aplica regulile pe care i le-a impus utilizatorul. Acest tip de firewall este rapid, deoarece face doar o verificare bazata pe adresa IP a sursei, ceea ce are si un dezavantaj. Filtrarea se face pe baza unei liste. Daca sursa isi schimba IP-ul sau si-l falsifica atunci poate ajunge, la un nivel mai mic sau mai inalt de securitate, la sistemul care se doreste protejat. Pentru aceasta producatorii router-elor au introdus noi calitati la acestea, cum ar fi si module de filtrare a timpului de origine, a protocolului, al portului.

Un alt tip de firewall este gateway-ul (sau proxy). Acesta lucreaza putin diferit fata de firewall-ul de retea. Acestea sunt bazate pe software. Cand un utilizator care nu se afla pe lista de incredere a firewall-ului incearca sa se conecteze de la distanta, firewall-ul ii blocheaza accesul. In locul stabilirii immediate a conexiunii, gateway-ul examineaza mai multe campuri ale pachetelor. Daca pachetele indeplinesc conditiile din setul de reguli atunci gateway-ul creeaza o punte de legatura intre utilizatorul de la distanta si gazda locala pe care inearca sa o acceseze. Un dezavantaj al acestui tip de firewall il constituie viteza, care este mai redusa decat la firewall-ul de retea, datorita aplicarii unui numar mai mare de filtre. Alt dezavantaj il constituie necesitatea crearii unei aplicatii de tip proxy pentru fiecare serviciu de retea in parte, FTP, Telnet, HTTP.

6. ASIGURAREA SECURITĂȚII ÎN COMERȚUL ELECTRONIC

Comertul electronic isi are originile cu mult inaintea evolutiei pietei computerelor personale, cu mult inainte ca acestea sa se transforme intr-o industrie de bilioane de dolari. In anul 1984, EDI, sau Electronic Data Interchange, a fost standardizat prin ASC X12. Acesta garanta faptul ca o companie poate sa incheie tranzactii cu alta companie in mod sigur. In 1992 compania Compuserve ofera reduceri online pentru produsele sale clientilor companiei. In 1994 apare Netscape, care asigura utilizatorilor sai un browser de Internet simplu de folosit, cat si o tehnologie sigura de tranzactii electronice online, numita Secure Sockets Layer. Mai tarziu, in anul 1995, doua dintre cele mai mari nume din domeniul comertului electronic apar: Amazon.com si eBay.com. In 1998, DSL, sau Digital Subscriber Line, asigura un serviciu rapid si permanent utilizatorilor sai din California. Acest lucru a facut sa creasca numarul persoanelor care stau online si care cheltuiesc mai mult. Potrivit site-ului Business.com, in 1999 totalul tranzactiilor electronice ajunge la 20 bilioane de dolari, iar din 2000, guvernul Statelor Unite ale Americii a crescut taxele pe Internet pana in 2005.

Dezvoltarea comertului electronic este cauza succesului unora dintre cele mai cunoscute site-uri web: Amazon, eBay, Expedia, Priceline. In anul 2002 cumparaturile de Craciun facute online a ridicat bugetul Amazon.com cu peste 2 bilioane de dolari, iar AOL a incasat 1.5 bilioane de dolari doar in 10 saptamani de sarbatori, potrivit lui Jon Weisman de la E-Commerce Times. Astfel succesul a dus la imitare. Astfel, ca rezultat al popularitatii eBay.com, peste 2000 de siteuri cu licitatii sunt acum pe Internet. Si desigur PriceLine a deschis drumul pentru un comert nou, in care mai multi ofertanti isi prezinta oferta unui client care a scos la licitatie dorinta sa de a cumpara ceva.

Comertul normal consta in cumpararea unui produs de catre un client de la un ofertant. Modelul comertului eletronic este asemanator, clientul foloseste semnale electronice, de obicei pe Internet, pentru a cumpara ceva. In general, daca o persoana este interesata de cumpararea unui obiect care a fost vazut pe Internet, o poate face de siteul respectiv. Acest model prezinta mai multe avantaje decat comertul normal. Este mult mai convenabil pentru consumatori, deoarece ei pot cumpara de acasa din fotoliul lor preferat orice isi doresc. In acest mod le este oferita posibilitatea de a compara si preturile pentru a gasi cele mai bune oferte. In plus le ofera si oportunitatea de a cumpara obiecte care nu pot fi gasite pe plan local. Un exemplu de astfel de comert electronic il reprezinta industria vanzarii de bilete de avion online, care este in continua dezvoltare. Din astfel de vanzari de bilete s-au castigat 22 de bilioane de dolari in anul 2002 si piata este in continua crestere potrivit Jupiter Media Metrix. Southwest.com de exemplu, lasa clientii sa aleaga cand si unde vor sa zboare si le ofera posibilitatea de a inchiria o masina sau o camera de hotel direct de pe site. Deoarece Southwest ofera acest serviciu de bilete online, clientii nu trebuie decat sa se identifice inainte de a se urca in avion.

Potrivit unui raport din februarie 2003, 55 % din utilizatori se bucura de serviciul de cumparare online, deoarece nu sunt implicati si vanzatorii ca intermediari. De aceea putem spune ca lipsa intermediarului si siguranta desfasurarii unei tranzactii online a contribuit decisiv la succesul comertului electronic. Comparat cu comertul normal, utilizatorii au dat urmatoarele motive pentru care prefera tranzactiile online:

Comoditate – 84 %

Lipsa de timp – 72 %

Evitarea aglomerarii – 64 %

Timp de cautare crescut – 61 %

Preturi mai mici – 60 %

Printre aceste cinci motive, cel putin doua nu pot fi asigurate de comertul normal, si pot fi sporite de interactivitatea oferita de Internet. De aceea, interactivitatea aduce venituri semnificante site-urilor care practica comertul electronic. Un dezavantaj al comertului electronic il reprezinta ingreunarea traficului si a functionarii normale a siteurile in perioada sarbatorilor, cand numarul urias de clienti duce la o ingreunare a tranzactiilor electronice.

6.1. Metode de criptare asimetrica

Criptografia este stiinta care face ca valoarea unor informatii sa fie mai mica decat costul achizitionarii lor ilicite. Valoarea informatiilor scade de obicei cu timpul si criptografia incearca sa prelungeasca timpul necesar atacatorilor pentru a decodifica un mesaj, pana cand valoarea respectivei informatii scade si obtinerea ei nu mai este profitabila. Criptografia asigura tehnici de ciopartire a mesajelor in bucati de date aparent irecuperabile si apoi refacerea mesajului original folosind aceleasi tehnici ca in urmatoarea figura.

Mesajul original este numit plaintext sau cleartext, si mesajul codat ciphertext. Procesul de ciopartire se numeste criptare sau codare, iar cel de asamblare decriptare sau decodare. Functiile matematice care fac posibila criptarea si decriptarea sunt numite algoritmi de criptare sau cifru. Un sistem de criptare este o colectie de algoritmi si chei de criptare pe langa care se adauga toate combinatiile de mesaje originale si codate. O cheie de criptare reprezinta o valoare matematica care determina cum un mesaj este codat pentru a produce un ciphertext, si cum poate fi acesta decodat. O cheie are o anumita lungime, care este reprezentata de numarul de biti, sau, cateodata, numarul de octeti. Spatiul cheii este reprezentat de multimea tuturor valorilor matematice care au aceeasi lungime ca si cheia.

Criptografia asimetrica a fost inventata de Whitfield Diffie si Martin Hellman in 1975, cu toate ca existau zvonuri cum ca NSA ar fi descoperit conceptele de baza ale criptarii asimetrice inca din 1966. acest tip de criptare implica doua chei distincte, una publica si una privata. Cheia privata trebuie tinuta secreta, in timp ce cheia publica poate fi cunoscuta public. Denumirea de criptare asimetrica vine de la folosirea celor doua tipuri de chei. O cheie publica si corespondenta sa privata sunt legate din punct de vedere matematic, si sunt denumite in mod uzual o pereche de chei. Datorita acestei paritati, un mesaj care a fost codat cu o cheie public poate fi decriptat doar cu cheia sa privata, iar un mesaj criptat cu o cheie privata poate fi decodat doar cu propria lui cheie publica.

Algoritmii de criptare asimetrica sunt cam de peste 200 de ori mai lenti decat algoritmii care folosesc doar chei secrete. De aceea sunt foarte rar folositi pentru a coda o mare cantitate de date. De obicei, sunt folositi in faza initiala a comunicarii pentru autentificarea celor doua parti implicate si pentru a stabili cheile secrete pentru criptarea datelor. Folosind aceste doua tipuri diferite de criptare au rezultat sisteme de criptare hibride.

Codarea unui mesaj cu o cheie privata creeaza o semnatura digitala peste mesaj. Decriptarea unei semnaturi digitale cu o cheie publica pentru a verifica identitatea entitatii care a generat semnatura se numeste verificarea semnaturii. Un algoritm bazat pe chei publice este unul reversibil, daca poate fi folosit atat pentru criptare cat si pentru semnaturile digitale, si este ireversibil daca poate fi folosit doar pentru semnaturile digitale. La un algoritm de chei publice ireversibil, cheia privata poate cripta mesajul, dar nu poate decripta mesajul cifrat. Dar totusi exista si alta categorie de algoritmi de cheie publica care pot sa nu codeze si sa nu genereze semnaturi digitale. Acestia sunt numiti algoritmi de chei de schimb deoarece ei pot fi folositi doar la schimbarea in siguranta a unei chei secrete intre doua entitati. Acest schimb de chei se mai numeste si stabilirea chei.

Algoritmii de chei publice se mai diferentiaza si prin relatiile matematice ce se stabilesc intre cheia publica si cea privata, dupa cum urmeaza:

6.1.1 Criptarea RSA

RSA, numit dupa creatorii sai Rivest, Shamir si Adleman, este cel mai popular. El poate fi folosit pentru confidentialitate, semnatura digitala si schimbul de chei. Lungimea cheii este variabila, de obicei intre 512 si 1024 biti. Cheile mai lungi de atat maresc siguranta algoritmului, dar scad eficienta lui si cresc marimea mesajului. Cheia publica la RSA este de forma <e, n>, unde e si n sunt exponentul si respectiv coeficient. Lungimea cheii este de n biti. Coeficientul n este obtinut inmultind doua numere prime mari, p si q, care sunt alese aleator si sunt secrete. Cheia privata este de forma <d, n>, unde d este inversul lui e mod (p-1)(q-1). Este usor de calculat d stiind p si q, dar nu este eficient din punct de vedere al calculelor sa il aflam pe d daca n este foarte mare. Deoarece p si q sunt tinute secret, un atacator trebuie sa incerce o factorizare a lui n ca sa afle p si q, pentru ca apoi derivand sa il afle pe d. totusi factorizarea numerelor foarte mari nu este eficienta, de aici si dificultatea de a sparge codul RSA. Pana acum, nimeni nu a reusit sa gaseasca alt mod mai bun de a sparge codul RSA decat factorizarea lui n (cel putin nimeni nu a declarat in vreun fel ca a descoperit un alt mod). Descoperirile tehnologice cu privire la marirea vitezei procesoarelor poate favoriza mult mai bine folosirea cheilor din ce in ce mai lungi si a metodelor de criptare mai avansate, decat incercarile de factorizare a numerelor mari. Doua valori foarte populare pentru e sunt 3 si 65537. acestea cresc eficienta criptarii si maresc numarul de pasi necesari verificarii semnaturii. Exponentii aleatori alesi pe 512 biti necesita o medie de 768 de multiplicari. Alegand ca exponent pe 65537 numarul multiplicarilor se reduce la 17, iar pentru 3 doar 3 multiplicarii, optimizand astfel performanta.

6.1.2. Criptarea Diffie-Hellman

Algoritmul Diffie-Hellman favorizeaza comunicarea intre doua entitati, care nu se cunosteau inainte de comunicare, sa-si schimbe mesaje in public dar avand o cheie secreta stabilita initial. Acest algoritm nu dipsune de confidentialitate sau de posibilitatea unei semnaturi digitale, si este de obicei folosit impreuna cu un algoritm de chei secrete in cadrul unui criptosistem hibrid. Algoritmul Diffie-Hellman il precede pe RSA si este cel mai vechi algortim de cheie publica in folosinta. A fost inventat de Whitfield Diffie si Martin Hellman si publicat in 1976.

Sa consideram doua sisteme, care nu se cunostea inaintea comunicarii, si care comunica online pe un canal nesigur pentru a stabili o cheie secreta comuna. Primul sistem alege un numar prim mare, p, si un generator, g (g < p), si le trimite celuilalt sistem. Tot primul sistem alege apoi o cheie privata foarte mare, dA, si ii calculeaza corespondentul public eA = gdA mod p. Tot in acest fel si sistemul celalalt alege dB si eB = gdB mod p. celedoua sisteme fac schimb de chei publice, eA si eB, si isi calculeaza o cheie secreta comuna dupa cum urmeaza. Primul sistem calculeaza sA = eBdA = ( gdB) dA = gdBdA mod p, in acelasi fel sistemul celalalt sB = eAdB = ( gdA) dB = gdBdA mod p. Astfel celedoua sisteme au facut un schimb reusit de chei secrete. Un alt sistem, un eavesdropper, poate intercepta g, p, eA si eB, dar nu poate afla cheia secreta decat daca calculeaza un logaritm natural dintr-una din cele doua chei publice pentru a recupera cheia privata. Deoarece acest logaritm natural este relativ greu de calculat, algoritmul Diffie-Hellman poate rezista cu usurinta unui astfel de atac pasiv, dar impotriva unui atac activ de genul intermediarului este o prada usoara.

Logaritmarea naturala MQV (Menezes-Qu-Vanstone) este o varianta a algoritmului Diffie-Hellman, in care fiecare parte implicata intr-o comunicare trebuie sa genereze doua chei publice in locul uneia singure. Astfel cele doua parti folosesc perechile de chei publice si private impreuna cu alti parametrii pentru a stabili o cheie secreta comuna. Algoritmul logaritmarii MQV este astfel optimizat incat fiecare parte are o pereche de chei de autentificare permanenta si o pereche de tranzit (folosita o singura data). Perechea de chei de autentificare constituie un mecanism de certificare a identitatii celor doua parti implicate in comunicare prin intermediul unui secret stiut doar de cele doua sisteme.

Standardul semnaturii digitale (DSS) este introdus de Institutul National de Stadarde si Tehnologii al US (NIST) pentru a genera semnaturi mesajelor. Se propune algoritmul semnaturii digitale (DSA), care a fost publicat ca standard FIPS in 1994. DSA poate doar sa semneze mesaje, nu poate oferi confidentialitate sau negocieri de chei. DSA se bazeaza pe semnaturile El Gamal cu exceptia ca performantele acestuia au fost indreptate spre smart carduri.

6.2. Bazele matematice ale criptarii

Aproape toti algoritmii de criptare asimetrici se bazeaza pe urmatoarele tehnici matematice: factorizarea intregilor, logaritmi naturali, si logaritmarea curbelor eliptice.

6.2.1. Factorizarea intregilor

Un intreg pozitiv este numar prim daca si numai daca are ca divizori pe 1 si pe el insusi. Lista numerelor prime incepe cu 2, 3, 5, 7, 11, 13, 17, 19, 23,… Un numar pozitiv care nu este prim poate fi scris ca un produs de numere prime mai mici, numiti factori primi. Factorizarea unui numar reprezinta descompunerea lui in factori primi. Factorizarea unui numar mic este usoara, dar devine din ce in ce mai dificila odata ce numarul creste.

Sistemele de criptare care depind de factorizare, cum este RSA, se bazeaza pe faptul ca inmultind numere prime mari este relativ usor, dar factorizand un numar foarte mare in numere prime este foarte dificil. Cunostinta factorilor primi poate fi tinuta secreta si folosita pentru a deriva cheia privata, in timp ce numarul rezultat prin inmultirea factorilor primi poate fi facut public si poate fo folosit ca baza pentru cheia publica.

6.2.2. Logaritmi naturali

In aritmetica modulo n (n > 0), doi intregi sunt echivalenti daca dau acelasi rest cand sunt impartiti la n. Restul unui intreg m impartit la n este cel mai mic numar pozitiv care scazut din m sa dea un multiplu de n. Numerele 6, -4 si 16 au toate acelasi rest, 6, cand sunt impartite la 10, si, de aceea, sunt echivalente modulo 10. ax modulo n, reprezinta exponentierea aritmetica modulo n. de exemplu, 34 modulo 10 este 81 modulo 10, care este echivalent cu 1 modulo 10. logaritmarea naturala, care este operatia inversa a exponentierii modulo n, se refera la aflarea lui x unde ax = b modulo n. algoritmii de criptare asimetrici se bazeaza pe faptul ca exponentierea modulo n este usor de calculat, in timp ce logaritmarea naturala reprezinta o problema mai greu de rezolvat. In algoritmul Diffie-Hellman, o entitate alege un numar aleator d si trimite e = gd modulo p pe un canal nesigur altei entitati. Un eavesdropper, care intercepteaza e si mai stie g si p, nu poate calcula logaritmul natural pentru a-l afla pe d.

6.2.3. Logaritmarea curbelor eliptice

Problema logaritmarii curbelor eliptice este o varianta mai greu de calculat a algoritmului logaritmarii naturale. Sistemele de criptare bazate pe curbe eliptice folosesc lungimi de chei mai scurte pentru a asigura acelasi nivel de siguranta ca si sistemele bazate pe logaritmare naturala. De obicei, cheile mai scurte maresc performanta unui sistem de criptare asimetric reducand cantitatea de text codat. Curbele eliptice au inceput sa fie studiate de foarte multi ani, si au ajuns sa fie implementate in unele sisteme comerciale.

6.3. Scheme și standarde criptografice asimetrice

Cand se foloseste practic criptarea asimetrica trebuie sa avem grija la mai multe aspect. Sa consideram un sistem, S1, care este brokerul altui sistem, S2, trebuie sa-i trimita acestuia din urma cotatiile privind firma ACME. S1 cripteaza mesajul “ACME” folosind cheia publica a lui S2 si apoi il trimite. Un alt sistem, S3, care vrea sa intercepteze cotatiile, dar nu stie cine le va trimite si cui, poate intercepta si acest mesaj codat. S3 incearca sa decodifice mesajul, dar nu are cheiaprivata a lui S2 si incearca sa factorizeze n-ul. Dar pana cand a terminat de factorizat, cotatiile firmei respective sau schimbat si decodificarea mesajului deja nu mai are sens. Sistemul S3 mai poate incerca ceva, stiind cheia publica a lui S2 poate sa ia fiecare varianta de firma si sa o codeze cu cheia publica a lui S2. Cand ajunge sa codeze si “ACME”, observa ca ceea ce a codat este acelasi lucru cu mesajul trimis de S1.

Daca S1 include in mesajul sau catre S2 si un numar aleator inserat in text, atunci S3 nu mai poate afla continutul mesajului. In scimb, S2 poate decoda mesajul folosind cheia sa privata, cu ajutorul unui program software care poate sa excluda din mesaj acelnumar aleator si sa ii prezinte mesajul complet. Exista un numar de scheme criptografice asimetrice care au fost proiectate sa reziste anumitor atacuri si sa asigure interoperabilitatea intre diverse aplicatii. Iata in continuare cateva dintre aceste scheme.

PKCS a fost infiintat in 1991 de Laboratoarele RSA impreuna cu reprezentanti de la Apple, Digital, Lotus, Microsoft, MIT, Northern Telecom, Novell and Sun. Inca de la infiintare, PKCS a devenit punctul de plecare pentru multe standarde si este implementat in multe aplicatii comerciale.

PKCS se refera la gaurile in securitate criptosistemelor asimetrice, cum ar fi codarea mesajelor usor de ghicit, criptarea mesajelor scurte cand exponentul public este 3 si trimiterea mesajelor mai multor destinatari cand exponentul este 3. PKCS asigura standarde pentru criptarea RSA, intelegerea Diffie-Hellman, criptarea bazata pe parole, sintaxa certificatelor extinse, sintaxa mesajelor criptografice, sintaxa informatiilor cheilor private, atibutelor selective. PKCS este de fapt o colectie de articole despre PKCS, de la PKCS#1 la PKCS#12. in plus, PKCS mai aduce doua noi articole, “O privire de ansamblu asupra standardelor PKCS” si “Ghidul Layman pentru ASN.1, BER si DER”.

Scopul standardului IEEE P1363 pentru criptarea asimetrica este de a largi sfera de aplicabilitate a acestor sisteme de criptare si de a uni diferite aspecte ale acestora intr-o singura tehnologie, sa promoveze interoperabilitatea si sa constituie un punct de plecare pentru tot felul de tranzactii digitale.

P1363 aduce impreuna managementul sistemelor hibride, stabilirea cheilor pentru sistemele simetrice, de exemplu DES cu RSA sau Diffie-Hellman, autentificarea prin valori hash, criptarea si autentificarea mesajelor in sistemele hibride. P1363 identifica trei categorii de algoritmi de criptare asimetrica cu fundamente matematice. In plus, P1363 discuta mai multe functii auxiliare, cum ar fi functiile hash, si mai asigura si o serie de anexe informative.

6.4. Algoritmi de rezumare a mesajelor

Algoritmii de rezumare a mesajelor iau mesaje de lungime variabila si rezuma mesajele astfel incat sa aiba o lungime fixa. Rezultatul algoritmului se numeste rezumat, sau rezumatul mesajului, sau chiar hash. Un astfel de algoritm se mai numeste si algoritm hash de cale unica sau algoritm hash.

Un algoritm hash trebuie sa aiba trei proprietati pentru a fi sigur din punct de vedere criptografic. Mai intai, nu trebuie sa fie posibila determinarea mesajului dupa rezumatul sau. Mai bine spus, o data ce s-a rezumat mesajul, procesul invers sa nu mai fie posibil. In al doilea rand, sa nu fie posibil sa gasim un mesaj ales arbitrar care sa aiba un rezumat dorit sau particular. Si in al treilea rand, sa fie aproape imposibil de calculat doua rezmuate egale pornind de la doua mesaje diferite. Alta proprietate a algoritmilor proiectati corespunzator este ca rezumatul unui mesaj sa para ales aleator, si schimband doar un bit din mesaj sa rezulte alt rezumat total diferit. Este imperativ ca rezumatul mesajelor sa fie sigur din punct de vedere criptografic.

Daca marimea fixa a unui rezumat are m biti, ne va lua aproximativ 2m pentru a gasi un mesaj cu un rezumat dorit, si 2m/2 pentru a gasi doua mesaje cu acelasi rezumat. De aceea rezumatele mesajelor trebuie sa aiba cel putin 128 biti, deoarece nu este eficient din punct de vedere al calculelor sa cauti 264 mesaje. In urmatorul tabel sunt prezentate cateva functii de rezumare si marimea lor. MD5 de la RSADSI este unul dintre cei mai folositi algoritmi, dar este putin depasit datorita unor slabiciuni teoretice. Poate cel mai sigur algoritm este Secure Hash Algorithm (SHA-1) al guvernului US, care genereaza rezumate pe 160 de biti.

6.5. Coduri de autentificare a mesajelor

Un cod de autentificare a mesajelor (MAC) este o bucata de informatie de lungime fixa, care este trimisa odata cu mesajul pentru a asigura originalitatea si integritatea mesajului. MAC-urile sunt foarte folositoare in asigurarea autentificarii si a integritatii dar fara confidentialitate. Codul de autentificare al mesajelor se mai numeste si cod de integritate al mesajelor (MIC).

Toate tipurile de criptare, simetrica si asimetrica, pot fi folosite ca baza pentru MAC-uri. Cel mai comun mod de a genera MAC-uri implica un cod de blocare bazat pe simetria cheilor secrete. Comunitatea financiara foloseste aceasta varianta pentru a-si proteja tranzactiile electronice. O functie hash de criptare poate fi deasemnea folosita pentru a grupa un mesaj si un cod secret pentru a produce un MAC. Destinatarul mesajului, care are acelasi cod secret ca si expeditorul, calculeaza tabela hash a mesajului dar si codul secret pentru a obtine un alt MAC. Daca cele doua MAC-uri sent aceleasi, destinatarul poate trage concluzia ca mesajul provine de la cineva care stie cheia secreta, si ca mesajul nu a fost modificat in timpul tirmiterii sale. Acest tip de functii hash se numesc si functii hash de cheie, si MAC-ul corespunzator se numeste HMAC. Folosirea HMAC-urilor pentru a proteja comunicatiile pe Internet este in continua crestere. MAC-urile bazate criptarea asimetrica, asigura primirea mesajelor, cat si autentificarea si integritatea lor.

6.6. Semnaturi digitale

O semnatura digitala este o informatie care certifica originea si integritatea unui mesaj. Sursa unui mesaj foloseste o semnatura cheie pentru a semna mesajul, si apoi trimite mesajul cat si semnatura sa digitala. Destinatarul foloseste o cheie de verificare pentru a testa originea mesajului si pentru a vedea daca mesajul a fost supus modificarilor in timpul transportului. Este de preferat ca cele doua chei, de semnare si de verificare, sa fie diferite. Astfel, cel care verifica un mesaj ii poate testa autenticitatea fara a mai forta sursa sa-si dezvaluie cheia se semnatura. Tinand cheia de semnare secreta, utilizatorul se asigura ca destinatarul nu ii poate falsifica semnatura digitala deoarece acesta din urma nu stie cheia semnaturii. Pentru ca nu este posibila falsificarea unei astfel de chei, sursa unui mesaj nu poate nega mai tarziu ca nu a trimis un mesaj.

Trebuie sa facem o distinctie clara intre semnatura digitala si codul de autentificare al unui mesaj (MAC). Pentru a verifica un MAC cel care a primit mesajul trebuie sa stie secretul cu care a fost facut acel MAC. Un rezultat direct al acestui fapt sursa poate nega trimiterea unui mesaj, deoarece si destinatarul poate reproduce un MAC trimis de sursa.

Semnarea mesajului si nu a rezumatului sau are si un neajuns. Mai intai, semnand un mesaj intreg si trimitandu-l dubleaza cerintele lungimii de banda. In al doilea rand, operatiile cu chei publice sunt de obicei lente, si criptarea unui mesaj intreg in loc de rezumatul sau are implicatii asupra performantei sistemelor. In al treilea rand, un criptoanalist poate lansa foarte usor o serie de atacuri asupra sistemului de criptare.

6.6.1. Semnatura digitala RSA

Tehnologia de chei publice RSA poate fi folosita ca baza pentru a genera chei. Semnaturile digitale RSA reprezentau standardul mondial pana cand NIST a propus DSS pe 30 august 1991. RSA a fost pentru mult timp in atentia publicului si putem crede ca acestea sunt sigure. RSA este controlat de RSADSI in Statele Unite ale Americii si se supune legilor drepturilor de autor.

6.6.2. Semnaturile digitale DSS

DSS a fost propus de NIST ca standard pentru semnaturile digitale. Semnaturile digitae DSS functioneaza intr-o maniera asemanatoare cu semnaturile RSA. Modulul de semnare aplica functia hash mesajului si transmite mesajul semnat; modulul de verificare testeaza autenticitatea mesajului dupa cheia publica si dupa functia hash semnata transmisa odata cu mesajul. DSS admite chei intre 512 si 1024 biti, cu toate ca DSA nu limiteaza dimensiunea cheii. DSS recomanda ca functie hash SHA-1, dar poate lucra cu orice functie hash. De fapt, DSS foloseste o varianta de semnatura El Gamal pentru semnare si verificare.

Decizia NIST de a folosi semnaturi El Gamal in loc de standardizatul RSA a condus la o serie de dispute in randul criptografilor. Securitatea lui DSA se bazeaza pe dificultatea calcularii logaritmilor naturali, in timp ce securitatea RSA se bazeaza pe dificultatile de calculare a factorilor primi ai numerelor foarte mari. DSA poate doar sa semneze mesaje, in timp ce RSA poate si semna si cripta. Deoarece legile nord americane cu privire la exporturi restrictioneaza exportul de software de criptare, este mult mai usor sa distribui implementari software (sau hardware) ale DSA decat RSA. RSA (cu exponentul 3) poate verifica semnaturi de aproximativ 100 de ori mai repede decat DSA. Pentru generarea semnaturilor, DSA poate fi mai eficient decat RSA, facand DSA sa fie de preferat pentru smart carduri. Schemele semnaturilor digitale RSA si DSA sunt la baza echivalente, si decizia de a alege una in detrimentul celeilalte depinde de factori cum ar fi restrictionarea exporturilor, drepturile de autor si de uzanta.

6.6.3. Semnaturile digitale bazate pe curbe eliptice

Sistemele de criptare de curbe eliptice pot fi folosite ca baza de plecare si pentru semnaturile digitale. Cu lungimi de chei reativ scurte, curbele eliptice pot oferi acelasi grad de securitate de calcul ca RSA sau DSA. Prin urmare, sistemele semnaturilor digitale pe curbe eliptice au performante mai bune si reprezinta cea mai atractiva solutie pentru smart carduri, care au o putere de procesare mica. IEEE a propus algoritmul de semnaturi digitale pe curbe eliptice (ECDSA), care este o varianta a lui DSA.

6.6.4. Semnaturi in alb

Pana acum in prezentarea semnaturilor digitale, semnatarul unui mesaj era acelasi cu expeditorul mesajului. Exista totusi circumstante in care, un sistem semneaza mesaje prezentate de alte sisteme. Astfel de mesaje sunt corespondii digitali ai documentelor legalizate la notari publici, cu toate ca se mai lucreaza la legislatia pentru acestea. Partea care semneaza mesajele poate examina mesajul inaintea semnarii si trimiterii de catre alta parte a mesajului. Ar fi foarte avantajos sa prezinti spre semnare un document fara ai dezvalui continutul. Sa consideram un utilizator care a descoperit o noua formula chimica, si vrea sa o ingregitreze, dar nici nu vrea sa-si dezvaluie formula. Utilizatorul doreste sa primeasca drepturile de autor asupra formulei dar sistemul care poate acorda aceste certificarii sa nu poata sa ii determine formula. Astfel utilizatorul poate obtine o semnatura in alb, in urmatorul fel. Utilizatorul multiplica mesajul de n ori, n fiind un numar generat aleator. Apoi trimite mesajul rezultat, care este semnat si apoi intors la utilizator. Acesta imparte la n semnatura certificata si obtine semnatura pentru mesajul original. Cel care a introdus sistemul de semnturi in alb, este David Chaum si detine cateva patente legate de aceasta arie de interes.

7. CONCLUZII

Dupa cum s-a vazut in capitolele anterioare transferul datelor în cadrul tranzacțiilor efectuate prin Internet este supus riscurilor reprezentate de diferite atacuri. Pentru protejarea sistemelor și a utilizatorilor de orice neajuns se pot folosi instrumente software specializate cum sunt programele antivirus și cele de tip firewall. Un firewall reprezinta orice fel de componenta, software sau hardware, care impiedica unui utilizator neautorizat sa intre intr-u sistem. De obicei firewall-urile se bazeaza pe scheme si reguli de functionare care sorteaza adresele dorite si nedorite.

Cele mai importante componente ale unui firewall nu sunt nici software nici hardware, ci sunt in mintea persoanei care la implementat. Un firewall este mai degraba un concept decat un produs, deoarece este doar o idee in mintea programatorului despre cine si in ce conditii este lasat sa intre intr-un sistem. Astfel un firewall este compus dintru-un pachet software.

Cel mai des intalnit tip de firewall este un firewall de retea. Firewall-ul de retea filtreaza pachetele care intra in retea. Intr-o astfel de implementare a unui firewall, adresa sursa a fiecarui pachet este examinata. Dup ce fiecare adresa IP a fost identificata, se aplica regulile pe care i le-a impus utilizatorul. Acest tip de firewall este rapid, deoarece face doar o verificare bazata pe adresa IP a sursei, ceea ce are si un dezavantaj. Filtrarea se face pe baza unei liste. Daca sursa isi schimba IP-ul sau si-l falsifica atunci poate ajunge, la un nivel mai mic sau mai inalt de securitate, la sistemul care se doreste protejat. Pentru aceasta s-au introdus noi calitati la acestea, cum ar fi si module de filtrare a timpului de origine, a protocolului, al portului.

Firewall-urile software ofera o protectie de baza impotriva atacurilor interioare si exterioare. In plus, iti dau libertatea de miscare dintr-o retea in alta. Firewall-urile hardware asigura o protectie superioara, care poate ascunde mai eficient unul sau mai multe computere, blocand intrusii printr-o platforma sigura si dedicata. Ambele tipuri de fireawall sunt importante, dar nici unul si nici altul nu sunt usor de creat si de intretinut. Toate firewall-urile software te protejeaza destul de bine, doar daca sunt configurate si instruite corespunzator, o problema chiar si pentru experti.

Rezultă ca nu există o protecție de 100 % dar riscurile pot fi reduse foarte mult folosind instrumentele software corespunzătoare.

BIBLIOGRAFIE

Victor Valeriu Patriciu, ș.a., Securitatea comerțului electronic, Editura All, Bucuresti, 2000

Victor V. Patriciu, s.a., Semnaturi electronice si securitate informatica, Editura Byte, Bucuresti, 2006

Darie C., Bucica M., PHP si MySQL pentru comert electronic, Editura Teora, bucuresti, 2005

Dodescu I,.s.a., Virusi informatici si bombe logice, Editura Tehnica, Bucuresti, 1993

Colecția de reviste CHIP, anii 1998-2004

Colecția de reviste X-tremePC, anii 2000 – 2004

***. http://newmedia.medill.northwestern.edu/courses e-commerce

***. http://www.isi.edu/in-notes/iana/assignments/port-numbers

***. http://advice.networkice.com/advice/Exploits/Ports/

***. http://scan.sygatetech.com/probe.html

***. http://www.symantec.com/

***. “A Hackers Guide to Protecting Your Internet Site and Network” ***. http://grouper.ieee.org/groups/1363/index.html IEEE P1363

***. http://www.trendmicro.com

***. http://www.gosci.com

***. http://www.computerworld.com

***. http://www.ICSA.net

***. http://www.antivirus.com/products/smex/costanalysis.htm

***. http://www.viruslist.com

ANEXA

Harta mondiala a numarului de computere

infectate cu virusi in ultimele 7 zile

Harta Americii de Nord cu numarul de computere

infectate cu virusi in ultimele 7 zile

Harta Europei cu numarul de computere

infectate cu virusi in ultimele 7 zile

Harta Asiei cu numarul de computere

infectate cu virusi in ultimele 7 zile

Harta mondiala cu numarul de fisiere

infectate cu virusi in ultimele 7 zile

Harta Americii de Nord cu numarul de fisiere

infectate cu virusi in ultimele 7 zile

Harta Europei cu numarul de fisiere

infectate cu virusi in ultimele 7 zile

Harta Asiei cu numarul de fisiere

infectate cu virusi in ultimele 7 zile

Harta mondiala cu numarul de computere

infectate cu virusi in ultimele 30 zile

Harta Americii de Nord cu numarul de computere

infectate cu virusi in ultimele 30 zile

Harta Europei cu numarul de computere

infectate cu virusi in ultimele 30 zile

Harta Asiei cu numarul de computere

infectate cu virusi in ultimele 30 zile