Securitatea Site Urilor Web
Introducere
În economia actuală informația este unul dintre cele mai importante bunuri ale unei organizații, probabil inferioară doar resurselor umane.
Fiecare aspect al societății, inclusiv mediul de afaceri este influențat de faptul că trăim într-o societate informațională în care aproape totul este interconectat.
Asta nu înseamnă că fiecare aspect al vieții este online, ci mai degrabă că, indiferent dacă cineva participă sau nu, el este afectat de acest aspect.
Din perspectiva afacerilor, informația a devenit unul dintre cele mai de preț bunuri. Astfel, securitatea informației are o importanță deosebită pentru companiile care vor să implementeze afaceri electronice.
Principala problemă referitoare la securitatea acestora este că însăși natura informației împreună cu mediul de creare, dezvoltare, stocare și transmisie – calculatoarele, rețelele de comunicații și în mod special Internetul, care este prin concepție un mediu deschis și nesecurizat – sunt foarte greu de controlat. În ziua de astăzi este foarte ușor să creezi, să modifici și să transmiți informația.
Avansul tehnologic în capacitatea de calcul și interconectivitatea au dus la o situație în care prin eforturi mici e posibil să se poată crea pagube foarte mari.
Breșele de securitate accidentale sau intenționate sunt din ce în ce mai frecvente și mai ușor de găsit, fiind din ce în ce mai greu să securizezi informația.
Astfel asigurarea securității totale este practic imposibil de realizat. Această situație reprezintă în același timp atât o oportunitate, cât și o provocare.
Este o oportunitate deoarece există posibilitatea de a crea și exploata o valoare, oferind soluții viabile la această problemă și în același timp o provocare, pentru că fără o soluție realistă și fezabilă care să ofere afacerilor siguranța necesară pentru transformarea în afaceri online, un potențial economic important rămâne neutilizat.
Sondajele arată că lipsa securității tranzacțiilor este unul din motivele cheie pentru care b#%l!^+a?clienții ezită să cumpere online.
Practic, există un număr aproape infinit de metode prin care o afacere electronică ar putea fi atacată de hackeri, crackeri sau alte categorii de intruși. Intenția nu este de a produce o listă exaustivă, ci de a prezenta cele mai comune amenințări: hacking, cracking, spoofing, sniffing, cai troieni, viruși, viermi, denial of service etc.
Practic, securitatea trebuie să devină o componentă de bază pentru toate site-urile Web de comerț electronic, importanța sa fiind, în ultima perioadă, luată în considerare din ce în ce mai mult de firmele care au adoptat această formă de comerț, acestea având ca exemplu experiențele negative ale unor site-uri Web de comerț electronic care nu și-au luat măsurile necesare în ceea ce privește securitatea Web și au avut de suferit în urma exploatării vulnerabilităților de securitate existente de către hackeri.
Aceasta a afectat imaginea companiilor respective și a dus la pierderi mari în plan financiar.
Pentru viitor se anticipează realizarea unui grad mai mare de securizare a site-urilor Web. În acest sens se prevede realizarea unui sistem care va impune un standard de clasificare a vulnerabilităților produselor software, în funcție de gradul de risc al acestora.
Sistemul va oferi un limbaj comun de descriere a importanței problemelor de securitate, înlocuindu-le pe cele elaborate de fiecare furnizor în parte.
CAPITOLUL I
TIPURI DE AMENINȚĂRI
1.1 Phising-ul
În domeniul securității calculatoarelor, înșelăciunea (denumită în engleză phishing, pronunțat /'fi-șin/) reprezintă o formă de activitate infracțională care constă în obținerea unor date confidențiale, cum ar fi date de acces pentru aplicații de tip bancar, aplicații de comerț electronic (ca eBay sau PayPal) sau informații referitoare la carduri de credit, folosind tehnici de manipulare a datelor identității unei persoane sau a unei instituții.
O înșelăciune electronică constă, în mod obișnuit, în trimiterea de către atacator a unui mesaj electronic, folosind programe de mesagerie instantanee sau telefon, în care utilizatorul este sfătuit să-și dea datele confidențiale pentru a câștiga anumite premii, sau este informat că acestea sunt necesare datorită unor erori tehnice care au dus la pierderea datelor originale.
În mesajul electronic este indicată de obicei și o adresă de web care conține o clonă a sitului web al instituției financiare sau de trading. Majoritatea phisherilor folosesc această metodă pentru a obține date bancare.
Grupul de lucru antiînșelăciune (APWG), o organizație creată de către forțele de apărare a legii și organizații comerciale, raportează o creștere permanentă a acestui tip de atacuri.
Numărul de utilizatori de internet care s-au confruntat cu atacuri de tip phishing în ultimele 12 luni a crescut de la 19,9 milioane la 37,3 milioane, înregistrând o creștere de 87%, potrivit rezultatelor studiului “Evoluția atacurilor de tip phishing în perioada 2012-2014”, realizat de Kaspersky Lab.
Facebook, Yahoo, Google și Amazon se numără printre principalele ținte atacate de infractorii cibernetici. Studiul, realizat în luna iunie 2014, folosind datele colectate de serviciul cloud Kaspersky Security Network, demonstrează că ceea ce reprezenta înainte un subcategorie al spam-ului a evoluat acum într-o amenințare cibernetică de sine stătătoare. b#%l!^+a?
Phishing-ul reprezintă o formă de fraudă pe internet, prin care infractorii creează copii false ale site-urilor populare (un serviciu de e-mail, un website de online banking, o rețea de socializare etc.), unde încearcă să îi atragă pe utilizatori.
Aceștia, încrezători fiind, introduc datele de înregistrare și parolele pe aceste website-uri, cum ar face-o în mod obișnuit, însă informațiile ajung la infractorii cibernetici.
Ei pot folosi apoi informațiile personale furate, datele conturilor bancare sau parolele b#%l!^+a?pentru a fură banii utilizatorilor, pentru a trimite mesaje de tip spam și fișiere malware prin intermediul contului de e-mail compromis sau al rețelei de socializare, sau pot, pur și simplu, să vândă datele furate și parolele altor infractori.
Pentru o perioada lungă de timp, phishing-ul a fost privit că o subspecie a e-mail-urilor obișnuite de tip spam.
Însă, datele colectate în timpul cercetării confirmă faptul că atacurile de tip phishing au ajuns la un nivel atât de avansat, încât pot fi considerate o categorie separată de sine stătătoare. De fapt, e-mailul nu mai reprezintă cel mai des întâlnit mecanism pentru mesajele de tip spam. De exemplu, numai 12% din atacurile de phishing înregistrate au fost lansate prin intermediul e-mail-urilor de tip spam.
Restul de 88% au provenit din link-uri către paginile de phishing pe care utilizatorii au ajuns în timp ce foloseau un motor de căutare, un sistem de mesagerie (Skype etc.) sau în urmă utilizării obișnuite a computerului. În timpul derulării studiului, specialiștii Kaspersky Lab au comparat informații despre atacurile de phishing colectate de Kaspersky Security Network de la peste 50 de milioane de utilizatori, în perioada 1 mai 2012 și 30 aprilie 2014, datele fiind relevante pentru perioada 2011-2012.
În perioada 2012-2013, phisher-îi au lansat atacuri care au afectat, în medie, 102.100 de persoane la nivel mondial zilnic – de două ori mai multe decât în perioada 2011-2012.
Atacurile de tip phishing țintesc cel mai adesea utilizatori din Rusia, SUA, India, Vietnam și Anglia.
Vietnam, SUA, India și Germania au cel mai mare număr de utilizatori afectați – numărul total de atacuri din aceste regiuni fiind dublu comparativ cu anul trecut.
Majoritatea serverelor care găzduiesc pagini de phishing sunt înregistrate în SUA, Anglia, Germania, Rusia și India. Numărul de surse unice de atac – cum ar fi site-urile și serverele frauduloase – s-a triplat în perioada 2012-2013.
Peste jumătate (56%) dintre sursele de atac identificate s-au regăsit pe teritoriile a numai 10 țări, ceea ce demonstrează faptul că atacatorii dispun de un set de „baze” preferate de unde își lansează atacurile.
Serviciile companiilor Yahoo!, Google, Facebook și Amazon sunt cele mai frecvent atacate de phisheri – 30% din totalul incidentelor înregistrate implică versiuni falsificate ale acestor website-uri.
Peste 20% din toate atacurile de tip phishing imită site-urile băncilor sau ale altor organizații financiare. American Express, PayPal, Xbox live, Twitter s.a. se află în tipul celor mai atacate 30 de website-uri. “Volumul și varietatea atacurilor de tip phishing detectate în timpul studiului indică faptul că phishing-ul nu mai reprezintă un simplu instrument din categoria de trucuri ilegale dezvoltate de infractori, ci constituie, în mod vizibil, o amenințare serioasă”, a declarat Nikita Shvetsov, Deputy CTO (Research) în cadrul Kaspersky Lab. „Aceste atacuri sunt relativ simplu de organizat și își dovedesc eficientă, tot mai mulți infractori cibernetici fiind atrași de acest tip de activitate ilegală.
Volumul de atacuri de tip phishing, care, potrivit Kaspersky Security Network, aproape s-a dublat pe parcursul unui an, reprezintă o dovadă a acestei tendințe”, a încheiat Nikita Shvetsov.
Metode combatere a înșelăciunilor.
A. Modalități sociale:
O modalitate de combatere constă în explicarea și școlarizarea utilizatorilor cum să reacționeze la astfel de atacuri. O altă măsură eficientă constă în verificarea autenticității mesajului electronic direct cu persoana sau instituția comercială sau financiară în cauză.
B. Modalități tehnice:
Folosirea unui soft contra înșelăciunilor. Noile versiuni ale browserelor Microsoft Internet Explorer și Mozilla Firefox includ deja module de anti-înșelăciune.
C. Metode de tip juridic și legal:
Crearea unui cadru legislativ care să incrimineze înșelăciunea electronică.
1.2 Hacktivism și cyberterorism b#%l!^+a?
Revoluția informațională determină ca viitorul război să se bazeze, cu precădere, pe caracterul cibernetic al acțiunilor de luptă realizat prin ampla utilizare a tehnologiei informației în comnda, controlul și executarea operațiilor, iar viabilitatea operațională a spațiului de luptă să fie asigurată prin implementarea conceptului de „război bazat pe rețea”. Atacul cibernetic reprezintă o amenințare informațională importantă în „spațiul virtual” sau cyberspațiu, ce are în vedere realitatea virtuală precum și sistemele de calcul.
Spațiul virual se compune atât din rețele de comunicații, cît și din cele de calculatoare, a căror funcționare se bazează pe utilizarea de produse informatice (software, protocoale, baze de date, poșta electronică etc.) și pe trasmisia de date. Caracteristica principală a acestuia constă în dezvoltarea fără precedent a interconectivității, cu multiplele sale legături informaționale, prin care se asigură trasmiterea și b#%l!^+a?prelucrarea de la distanță a informațiilor în rețelele de calculatoare, oferind, totodată, condiții pentru accesul neautorizat și alterarea informațiilor.
Cu cât o conexiune este mai des folosită, cu atât ea este mai importantă și utilă pentru funcționarea eficientă a oricărui sistem informațional, iar adversarul este mai interesat în neutralizarea acesteia. Atacul cibernetic reprezintă confruntarea dintre două tendințe privind securitatea și insecuritatea sistemelor informatice, dusă cu mijloace software, cu produse specifice de atac al parolelor, codurilor de identificare, poștei electronice etc., fără reguli și norme prin distrugerea sau modificarea produselor de program și a bazelor de date, furtul de date și informații, precum și prin interzicerea utilizării breșelelor de calculatoare și de comunicații care de asemenea, folosesc calculatoare. Ca urmare, atacul cibernetic constituie, în principal, un atac asupra rețelelor de calculatoare. Armele sale exploatează cu precădere vulnerabilitățile programelor de bază și de aplicații, mai ales a celectronic direct cu persoana sau instituția comercială sau financiară în cauză.
B. Modalități tehnice:
Folosirea unui soft contra înșelăciunilor. Noile versiuni ale browserelor Microsoft Internet Explorer și Mozilla Firefox includ deja module de anti-înșelăciune.
C. Metode de tip juridic și legal:
Crearea unui cadru legislativ care să incrimineze înșelăciunea electronică.
1.2 Hacktivism și cyberterorism b#%l!^+a?
Revoluția informațională determină ca viitorul război să se bazeze, cu precădere, pe caracterul cibernetic al acțiunilor de luptă realizat prin ampla utilizare a tehnologiei informației în comnda, controlul și executarea operațiilor, iar viabilitatea operațională a spațiului de luptă să fie asigurată prin implementarea conceptului de „război bazat pe rețea”. Atacul cibernetic reprezintă o amenințare informațională importantă în „spațiul virtual” sau cyberspațiu, ce are în vedere realitatea virtuală precum și sistemele de calcul.
Spațiul virual se compune atât din rețele de comunicații, cît și din cele de calculatoare, a căror funcționare se bazează pe utilizarea de produse informatice (software, protocoale, baze de date, poșta electronică etc.) și pe trasmisia de date. Caracteristica principală a acestuia constă în dezvoltarea fără precedent a interconectivității, cu multiplele sale legături informaționale, prin care se asigură trasmiterea și b#%l!^+a?prelucrarea de la distanță a informațiilor în rețelele de calculatoare, oferind, totodată, condiții pentru accesul neautorizat și alterarea informațiilor.
Cu cât o conexiune este mai des folosită, cu atât ea este mai importantă și utilă pentru funcționarea eficientă a oricărui sistem informațional, iar adversarul este mai interesat în neutralizarea acesteia. Atacul cibernetic reprezintă confruntarea dintre două tendințe privind securitatea și insecuritatea sistemelor informatice, dusă cu mijloace software, cu produse specifice de atac al parolelor, codurilor de identificare, poștei electronice etc., fără reguli și norme prin distrugerea sau modificarea produselor de program și a bazelor de date, furtul de date și informații, precum și prin interzicerea utilizării breșelelor de calculatoare și de comunicații care de asemenea, folosesc calculatoare. Ca urmare, atacul cibernetic constituie, în principal, un atac asupra rețelelor de calculatoare. Armele sale exploatează cu precădere vulnerabilitățile programelor de bază și de aplicații, mai ales a celor cu acces de la distanță, utilizând împotriva acestora tot componente software create special pentru a produce pagube. De asemenea, atacul este îndreptat și împotriva trasmiterilor de date, a stocării și accesării acestora în bazele de date, a stocării și accesării acestora în bazele de date. Totodată, sunt exploatate, în vederea atacului, vulnerabilitățile hardware ale calculatoarelor, dispozitivelor de memorare și echipamentelor tehnice ale rețelelor. Aceste amenințări externe, bazate mai ales pe arme software, au ca scop să reducă posibilitățile de executare corectă a serviciilor în cadrul sistemelor informaționale, prin fructificarea de către adversar a lacunelor sau a slăbiciunilor acestora privind protecția datelor și interzicerea accesului fraudulos. În mod obiectiv, Internetul poate fi considerat principalul câmp de luptă în cyberspațiu și, de aceea, este în atenția tuturor celor implicați sau care se vor implica în această luptă. Se constată trei clase de activități în spațiul cibenetic, denumite activism, hacktivism și cyberterorism. Activismul are în vedere utilizarea normală, nedistructivă a Internetului în sprijinul cauzei atacatorilor (grupărilor teroriste), operațiile efectuate referindu-se la studierea paginilor web pentru obținerea de informații, construirea de site-uri web în folosul acțiunii acestora și întrebuințarea poștei electronice pentru coordonarea acțiunilor planificate. Hacktivismul se referă la integrarea sentimentului de superioritate, satisfacție și împlinire de sine (hacking) cu cel de activism, acționând, prin utilizarea de tehnici specifice, împotriva site-urilor țintă de pe Internet pentru întreruperea funcționării normale a acestora, fără a cauza distrugeri importante.
Hacktivism este un cuvânt englezesc format prin combinarea verbului to hack (aici a ataca un site) și a substantivuluiactivism (care, în sens larg, înseamnă „a susține o idee,o cauză, un drept prin diverse manifestări” – recent cuvântul a fost împrumutat și în limba română). Din punct de vedere semantic, hacktivism înseamnă a folosi un calculator sau orice alt sitem IT, rețea pentru a dezbate și susține o cauză politică, promovarea exprimării libere și a respectării drepturilor umane.
Hacktivismul este considerat de către public a fi transpunerea protestelor și a oricărei alte forme de rebeliune civilă în spațiul virtual. Desigur, hacktiviștii au provocat și destule pagube, însă nu trebuie să îi desconsiderăm în totalitate și să uităm de lucrurile bune și de cauza lor: Net Neutrality (pe care și noi o suținem, deoarece considerăm că internetul al trebui să fie un loc liber, lipsit de cenzură). În zilele ce urmează, vă vom prezenta un serial referitor la acest „curent” (dacă îi pot spune așa) în care vom vorbi despre originile lor, scopurile lor, organizații, ș.a.
Termenul a fost „inventat” în 1996 de către Omega, membru al unui grup popular de hackeri numit The Cult of the Dead Cow. De-a lungul anilor, acest cuvânt a fost folosit în diferite contexte, fiind adoptat pentru a denumi „crime” din spațiul virtual sau utilizarea tehnologiei pentru a produce schimbări în plan social sau pur și simplu pentru a cauza sabotaje în scopuri politice. b#%l!^+a? Atacuri cibernetice motivate politic au fost înregistrate încă din 1989, principalele motive ale acestora fiind: renunțarea la armamentul nuclear, răspunsuri guvernamentale către dezordini la nivel politic local sau decizii ale organelor de justiție. În ultimii ani, grupări de hacktiviști precum Anonymous au câștigat popularitate în întreaga lume și au stat în spatele unor atacuri împotriva unor instituții, organizații și guverne.
Conform unei statistici a atacurilor cibernetice întocmită în anul 2012, hacktivismul este motivația principală din spatele acestor atacuri, iar această tendință nu s-a schimbat nici în momentul de față.
Grupările de hacktiviști profită de tehnologie pentru a perfroma diverse atacuri, însă, există o gamă variată de moduri de a atac cibernetic folosite, dar și de motivații, și de „unelte”. Acestea sunt responsabile pentru atacurile Dos (denial-of-service = o încercare b#%l!^+a?frauduloasă de a indisponibiliza sau bloca resursele unui calculator), furt de informații, breșe de informații, „desfigurarea” siteurilor web, typosquatting (atunci când se tastează greșit o adresă web, cel care a scris este redirecționat către o pagină web și nu către pagina standard care anunță scrierea greșită), etc. Convingerea lor principală este că prin folosirea mijloacelor tehnice, se pot atinge aceleași rezultate (sau chiar mai bune) ca în cazul activismului social normal.
Rețelele sociale au împrăștiat ideile hacktiviștilor la scară mondială. Recrutarea, plănuirea atacurilor – totul se petrece online, iar numărul de persoane care îți pot urmări activitatea este practic nelimitat. Un alt factor care a încurajat răspândirea acestui curent este și criza economică din ultimii ani.
În trecut, adepții acestei ideologii erau clasificați drept teroriști cibernetici – lucru care nu este tocmai exact, deoarece ei nu atacă site-uri (hack-uiesc, cum am auzit tot mai des) cu scopul de a provoca daune civililor sau comunităților. Ei nu atacă nici punctele cheie ale societății, au un mod de operare diferit față de hackerii obișnuiți iar orice clasificare de acest fel nu face decât să îi dezinformeze pe cei care doresc să înțeleagă acest fenomen. Acțiunea cea mai importantă în spațiul cibernetic se realizează prin cyberterorism. Acesta a fost definit, pentru prima dată, în anul 1980, de către Barry Coolin, ca fiind convergența dintre cyberspațiu și terorism. Ulterior, Mark Pollit (agent special FBI) a definit cyberterorismul ca un atac premeditat, motivat politic, împotiva informației, sistemelor de calcul, programelor și datelor, constituind o violență împotriva țintelor necombatante din partea unor agenți clandestini sau grupuri subnaționale. Cyberterorismul are avantaje față de atacul fizic. El poate fi desfășurat cu viteză foarte mare de la distanță și anonim, cu arme inteligente invizibile, fără a necesita utilizarea de explozivi sau desfășurarea de atacuri sinucigașe. În prezent, cyberteroriștii pot obține mai mult prin claviatura calculatorului decât prin bombe. Așadar, în atacul cibernetic, infrastructura informațională este mediul, țintă și armă de luptă. Armele și tehnicile războiului cibernetic sunt numeroase și deosebit de ingenioase, fiind un produs al inteligenței umane elevate și al noilor tehnologii informaționale.
Dintre acestea, mai frecvent sunt utilizate următoarele:
software malițios (rău intenționat) pentru atacul produselor logice ale calculatoarelor, rețelelor de calculatoare și de comunicații moderne;
furtul și distrugerea informațiilor din bazele de date și din rețelele de transport al datelor;
interzicerea sau reducerea posibilităților de efectuare corectă a serviciilor (denial of service), în cadrul sistemului informațional;
atacul semantic;
atacul tehnic;
atacul criptografic.
Software–ul malițios reprezintă o amenințare frecventă, foarte importantă și în continuă dezvoltare, care folosește ca arme produse logice de date la țintă precisă, în vederea obținerii de avantaje imediate sau ulterioare în domeniul comenzii și controlului, prin penetrarea sistemelor informatice (mai ales a celor care privesc securitatea națională) și blocarea centrelor de calcul și de comunicații care servesc organele de decizie naționale (sau pe cele ale apărării). Atacatorii vor prelua, modifica, distruge sau redirecționa unele componente software principale care vor facilita accesul neautorizat la bazele de date și vor fura sau distruge informații importante, blocând, totodată, accesul utilizatorilor autorizați la sursele de informații de mare importanță.
Armele software-ului malițios încorporează combinații sofisticate de mici programe (rutine) cu diverse manifestări virtuale. De multe ori, acestea au rolul unui software ascuns, îndreptat împotriva sistemelor de protecție a securității pentru crearea breșelor de penetrare a software-ului de bază și de aplicație (specific domeniului), denumit în literatura de specialitate „back door”, adică ușa din spate întredeschisă. Se au în vedere liste de parole, chei, coduri, denumite generic „snifers”, cu b#%l!^+a?ajutorul cărora se va pătrunde ulterior nestingherit, de la distanță, in sistemele informatice și în rețelele de calculatoare. De asemenea, un software malițios cuprinde, ca arme, viruși, viermi informatici, cai troieni, bombe logice etc. De regulă, utilizatorii nu sesizează atacul cibernetic până în momentul în care efectele acestuia sunt întâlnite, respectiv se constată distrugerile cauzate. Se pot utiliza ca arme pentru atac și programe de înșelare prin deghizare (spoofing), care vor forța utilizatorii să accepte identitatea atacatorilor (considerați a fi un calculator mai puțin experimentat), obținând, astfel, accesul neautorizat în sistemele informatice și rețelele de calculatoare (din cauza incompetenței unora din personalul de operare). Cei mai reprezentativi exponenți ai cyberterorismului sunt hackerii, declarați ca fiind primii luptători în cyberspațiu. Ei sunt persoane (infractori) care accesează deliberat și neautorizat fișiere și programe, b#%l!^+a?producând pagube considerabile. Activitatea acestora se combină cu cea a phracherilor, care utilizează tehnologia înaltă pentru atacul (spargerea) rețelelor de comunicații (mai ales a celor publice) și sufocarea lor cu apeluri false. Se realizează, astfel, o afectare generală a sistemelor informaționale, greu de descoperit și care necesită un timp destul de mare pentru refacera lor, ceea ce poate bloca activitatea informațional-decizională pe această perioadă. O armă importantă pentru atacul cibernetic o reprezintă virușii informatici, care sunt produse software de mică dimensiune, scrise într-un limbaj evoluat, capabili de autoreproducere și de autoapărare. Sunt destinați infectării componentelor logice ale unui sistem informatic sau rețele de calculatoare (inclusiv ale calculatoarelor din rețelele de comunicații), în vederea reducerii sau anulării operativității acestora, în scopul obținerii sau distrugerii de informații utile sau pentru determinarea programelor să prelucreze datele existente în sistem (rețea) într-un scop dorit, favorabil adversarului. Un virus constituie în sine un cod exscutabil, ce poate fi trasmis prin toate canalele de date existente între calculatoare. O categoie mai complexă de viruși sunt cei polimorfi, în cadrul cărora, în momentul replicării, în scopul îmulțirii, noile exemplare obținute nu vor fi identice cu originalul, ci cât mai diferite. Indicii de bază care dovedesc prezența virușilor ar putea fi următorii:
apariția unor mesje neobișnuite pe ecran;
creșterea lungimii fișierelor de sistem;
blocarea frecventă și prăbușirea (crash) a sistemelor de calcul și a rețelelor;
distrugeri de date prin dispariția subită a unor fișiere;
încetinirea sau interzicerea accesului la memoria internă (discul) a calculatoarelor și defectarea unor zone (sectoare) ale memoriei;
încărcarea mai grea sau imposibilă a programelor, cu precădere a celor destinate prelucrării unor informații de importanță deosebită;
operarea înceată a calculatoarelor;
interzicerea utilizării poștei electronice;
furnizarea de soluții informatice rezultate în urma prelucrării datelor, puțin credibilă, ce ar determina luarea de decizii false.
În funcție de ținta atacului, virușii pot fi: de fișiere, de încărcare a sistemelor de calcul (boot), infectării de sisteme de operare, de periferice, de legătură, însoțitori ai fișierelor executabile, viruși macro care folosesc ca gazdă Microsoft Word etc. După comportamentul lor, virușii pot fi: nerezidenți, care nu rămân activi în memorie după ce aplicația „infectată” s-a executat, și rezidenți, care rămân activi în memorie, putând infecta și alte fișiere supuse prelucrării. Există și alte clasificări ale virușilor, de exemplu, după momentul acțiunii – cu acțiune imediată, ce pătrund în sistem, sau cu acțiune programată – sau după capacitatea de autoreproducere, respectiv cu autoreproducere, fără autoreproducere, kamikaze. Caii troieni sunt arme bazate pe produse software malițoase ascunse în memoria calculatoarelor sub forma unor programe utile, de interes general, care, la o anumită condiție îndeplinită (dată, timp, operații executabile, număr de apeluri etc.), își manifestă efectul distructiv, de regulă, de amploare (ștergerea unor fișiere mari, blocări de sistem, modificarea conținutului datelor primare, împiedicarea afișării informațiilor și rezultatelor etc.).
Viermele de rețea este un produs software malițios autonom, care se mișcă singur și nu atașat altor fișiere sau segmente de căi (ca virușii). El migrează în cadrul unei platforme de calcul prin autocopiere (replicare) de la un sistem la altul, prin exploatarea facilităților comune ale rețelei, pe timpul execuției programelor. Bomba logică reprzintă o formă de atac cibernetic printr-un program malițios (virus) rezident în memoria calculatorului, a cărui intrare în funcție (nu neapărat distructivă) se declanșeaza pentru o anumită condiție (semnal) stabilită în cadrul acestuia sau la o anumită dată, cu scopul de a determina o acțiune neautorizată (atacul fișierelor, programelor, succesiunii operațiilor, acesul la date în scop de sustragere etc.) b#%l!^+a? Bomba E-mail este o armă de atac deliberat asupra severelor țintă privind poșta electronică, prin bombardarea artificială a anumitor abonați ai acestora, selectați din rețea (de regulă, a celor mai importanți), cu o mulțime de mesje false, distribuite automat, făcând imposibil accesul mesjelor legale (autorizate) la căsuța poștală a persoanelor atacate. Se realizează o adevărată blocadă virtuală prin degradarea sau chiar refuzul serviciilor. Cea mai buna metodă de contracarare a atacurilor cu viruși și cai troieni constă în prevenirea contractării acestora de pe suporții de memorie externă (CD, memory stick, dischete), din rețeaua de calculatoare sau din Internet și activarea scutului antivirus pentru descoperirea acestora. Furtul și distrugerea informațiilor din bazele de date și din rețelele de transport al datelor constituie o acțiune de bază a hackerilor, întrucât are o mare influiență asupra proceselor informaționale și decizionale. Interzicerea (refuzul) efectuării serviciilor în sistemele informatice și rețelele de b#%l!^+a?calculatoare nu urmărește în mod deosebit să acționeze asupra integrității și confidențialității datelor și informațiilor, ci să afecteze performanțele rețelelor și chiar să împiedeice funcționarea acestuia prin transformarea sa într-o structură potențial haotică, pe baza alimentării din exterior cu o cantitate imensă de date care pot fi prelucrate oportun. Acestea determină întârzieri mari în trasmiterea fluxurilor constituite și scăderea încrederii utilizatorilor în seviciile asigurate de rețea. Atacul semantic al informațiilor se execută asupra unui sistem informatic existent în rețelele informaționale deschise, cu scopul de a realiza manipularea informativă care să îndrepte atenția persoanelor atacate către o altă țintă, diferită de cea vizată real de către adversar.
Un sistem aflat sub atac semantic funcționează fără a fi perturbat, astfel că victima va considera că se găsește într-un regim de funcționare corect.
Atacul tehnic reprezintă o acțiune săvârșită în cyberspațiu pentru împiedicarea sau anularea mecanismelor de protecție hardware și software ale calculatoarelor și breșelelor de calculatoare. Având în vedere că în sistemele informaționale pentru securitate națională și apărare, informațiile ar trebui să circule și să fie stocate sub formă criptată, utilizarea acestora de către adversar necesită decriptarea lor oportună. De aceea, executarea atacului prin arme criptografice asupra informațiilor și sistemelor informaționale pentru „spargerea” sistemelor de criptare constituie o componentă importantă a atacului cibernetic. Armele războiului informațional prezentate dovedesc amploarea acțiunilor ce pot fi provocate informațiilor și sistemelor informaționale.
1.3 Viruși informatici
Istoria virușilor de calculatoare este lungă și interesantă. Dar ea a devenit cu adevărat palpitantă abia din momentul în care a început să se dezvolte industria PC-urilor.
Pe măsură ce dezvoltarea acestor calculatoare noi progresa, a devenit posibilă și accesarea a mai mult de un program într-un singur computer. În același timp, s-a manifestat și o reacție împotriva a tot ceea ce însemna computerul.
Această tendința are rădăcini mai vechi, dar impactul computerelor de tip PC a fost așa de mare, încât și reacțiile împotriva acestora au început să se facă mai evidente.
În anul 1986, niște programatori de la Basic&Amjad au descoperit că un anumit sector dintr-un floppy disk conține un cod executabil care funcționa de câte ori porneau computerul cu dischetă montată în unitate. Acestora le-a venit ideea înlocuirii acestui cod executabil cu un program propriu. Acest program putea beneficia de memorie și putea fi astfel copiat în orice dischetă și lansat de pe orice calculator de tip PC. Ei au numit acest program virus, ocupând doar 360 KB dintr-un floppy disc.
În același an, programatorul Ralf Burger a descoperit că un fișier poate fi făcut să se autocopieze, atașând o copie într-un alt director. El a făcut și o demonstrație despre acest efect pe care l-a numit VirDem (Virus Demonstration).
Acesta a reprezentat un prim exemplu de virus, autentic dar destul de nevinovat, întrucât nu putea infectă decât fișierele cu extensia .COM.
La scurt timp au început să apară numeroși viruși, fabricați peste tot în lume. Ei au evoluat rapid, luând diverse forme și înglobând idei din ce în ce mai sofisticate.
Iată o scurtă dar spectaculoasă evoluție a fabricării în serie în toate colțurile lumii și lansării pe piață a virușilor:
– în anul 1990 erau cunoscuți și catalogați 300 de viruși b#%l!^+a?
– în anul 1991 existau peste 1000 de viruși
– în anul 1994 erau înregistrați peste 4000 de viruși
– în anul 1995 s-au înregistrat peste 7000 de viruși
Anul 1995 este cunoscut că fiind și anul în care a început să apară conceptul de macrovirus, devenind în scurt timp o adevărată amenințare, deoarece erau mult mai ușor de fabricat decât părinții lor virușii. Aceștia nu erau adresați numai anumitor platforme specifice, precum Microsoft Word pentru Windows 3.x/95/NȚ și Macintosh, astfel încât ei puteau fi folosiți pentru orice program, usurandu-se calea de apariție a cunoscuților microvirusi care au infestat fișierele la acea vreme produsul Lotus AmiPro.
Primul dintre macroviruși a fost cel folosit în Word și Word Basic. În luna iulie 1996 a apărut și primul microvirus cunoscut sub numele ZM.Laroux care era destinat distrugerii produsului Microsoft Excel.
Ce este un virus de calculator? b#%l!^+a?
Nu ne-am propus în aceste capitol să lămurim complet problema și să discutăm toate particularitățile referitoare la virușii calculatoarelor.
Ne-am propus doar să abordăm acest subiect din punct de vedere al realității obiective, pornind de la faptul că acești virușii există, sunt o realitate de multă vreme și fac mult rău.
Ne-am propus, totodată, să înțelegem mai bine ce reprezintă acești viruși ai calculatoarelor, cum se răspândesc ei, ce amenință și cum ne putem apară împotriva lor. În fine, vom prezența câteva exemple, dintre cele mai concludente, și vom descrie pagubele produse. În fine, vom discuta și despre metodele practice de a combate acest flagel.
A fost cu adevărat o mare surpriză pentru omenire atunci când a descoperit, acum câteva decenii, și a trebuit să accepte ideea existenței unor viruși de altă natură decât cea biologică.
Un virus de calculator, sau virus informatic așa cum i se mai spune, nu este altceva decât un program de dimensiuni mici, construit cu scopul de a face o glumă sau de a sabota pe cineva. Acest program are, de regulă, proprietatea că se autoreproduce, atașându-se altor programe și executând operații nedorite și uneori de distrugere.
Dimensiunile mici ale programului-virus reprezintă o caracteristică importantă, întrucât autorii țin foarte mult că produsul lor cu intenții agresive să nu fie observat cu ușurință.
Așa cum am menționat deja, când un virus infectează un disc, de exemplu, el se autoreproduce, atașându-se la alte programe, inclusiv la programele vitale ale sistemului.
Că și în cazul unui virus real, efectele unui virus al calculatorului pot să nu fie detectate o perioada de mai multe zile sau săptămâni, timp în care, orice disc introdus în sistem poate fi infectat cu o copie ascunsă a virusului.
Atunci când apar, efectele sunt diferite, variind de la mesaje glumețe la erori în funcționarea programelor de sistem sau ștergeri catastrofice a tuturor informațiilor de pe un hard disk. De aceea nu este indicat să se plece de la ipoteza că un virus nu înseamnă ceva mai mult decât o glumă.
În general, cei care construiesc viruși sunt programatori autentici, cu experiență bogată și cu cunoștințe avansate în limbajul de programare pe care îl folosesc.
Elaborarea de viruși este uneori și o activitate de grup, în care sunt selectați, antrenați și plătiți cu sume uriașe specialiștii de înalta clasa.
Virusul informatic este, așadar, un program rău intenționat, introdus în memoria calculatorului, care la un moment dat devine activ, atacând prin distrugere sau alterare fișiere sau autocopiindu-se în fișiere aflate pe diferite suporturi magnetice. Fiecare program infectat poate la rândul sau să infecteze alte programe.
Virusul este caracterizat de următoarele proprietăți:
– poate modifică fișiere și programe ale utilizatorilor, prin inserarea în acestea a întregului cod sau numai a unei părți speciale din codul sau
– modificările pot fi provocate nu numai programelor, ci și unor grupuri de programe
– are nevoie și poate să recunoască dacă un program a fost deja infectat pentru a putea interzice o nouă modificare a acestuia.
Fiecare virus se autoidentifică, în general pentru a evita să infecteze de mai multe ori același fișier. Identificatorul recunoscut de virus are sensul de "acest obiect este infectat, nu-l mai infectez".
Controversata problema a virușilor de calculatoare a născut ideea că orice virus poate fi combătut, adică depistat și anihilat. Cu toate acestea, există programatori care susțin că pot construi viruși ce nu pot fi detectați și distruși.
Este cazul unui grup de programatori polonezi care au anunțat pe Internet, în urmă cu câțiva ani, că pot construi astfel de "arme" imbatabile.
Programul lor, bine pus la punct, conținea câteva idei interesante care, dacă ar fi fost duse la capăt, probabil că ar fi dat multă bătaie de cap utilizatorilor de servicii Internet. Supărați de faptul că lumea a exagerat atât de mult cu costurile pe care le-a provocat virusul cunoscut sub numele de "I Love You", acești programatori intenționau să demonstreze întregii lumi că nu acest mult prea mediat virus este cel mai "tare". b#%l!^+a?
După părerea lor, ar putea fi construiți viruși care pot distruge cu mult mai mult decât a făcut-o "I Love You", adică o pagubă la scară planetară estimată atunci la circa 6 miliarde de dolari SUA. În plus, autorii au expus metode noi de reproducere a virușilor, fără posibilități prea mari de a putea fi depistați și anihilați.
Intențiile, făcute publice de acești indivizi, păreau dintre cele mai diabolice. Din fericire, se pare că acest plan diabolic nu a fost până la urmă dus la capăt, amenințările acestor indivizi oprindu-se doar la faza de proiect.
Totuși, aceste amenințări au putut avea măcar efectul unui adevărat semnal de alarmă. A fost avertizată întreagă omenire că pot există și din acest punct de vedere amenințări dintre cele mai serioase care, desigur, nu ar trebui deloc neglijate. b#%l!^+a?
În ultimii 25 de ani, virușii s-au răspândit rapid, continuând să evolueze până în formă în care îi cunoaștem astăzi. Potrivit unui clasament realizat de jurnaliștii agenției Associated Press, virușii din ultimele două decenii se remarcă prin faptul că au reușit să infesteze, într-un mod destul de simplu, milioane de computere din întreagă lume.
Specialiștii estimează că virusul de calculator este într-o continuă dezvoltare, iar evoluția lor din ultimii ani confirmă acest lucru. Iată topul celor mai renumiți viruși din ultimii 25 de ani:
Elk Cloner, apărut în 1982, este considerat primul virus care atacă computerele personale și care se împrăștie prin intermediul dischetelor. Atunci când computerul este virusat, pe ecran este afișat un poem scris de autorul virusului, un elev de clasa a nouă. Virusul a avut un succes enorm, întrucât la vremea respectivă nu existau motoare de scanare de viruși.
Brain, apărut în 1986, este primul virus care a lovit un sistem de operare al companiei Microsoft, DOS. Creat de doi frați pakistanezi, virusul afișează pe ecran numărul de telefon al unui atelier de reparat calculatoare, condus de cei doi.
Morris, apărut în 1988, este un virus creat de Robert T. Morris, un absolvent al Universității Cornell, al cărui tată era un important expert guvernamental în securitatea calculatoarelor. Virusul a infectat aproximativ 6.000 de computere din rețelele universitare și militare, prin intermediul Internetului.
Virusul s-a răspândit rapid pe Internet și a provocat pagube serioase instituțiilor publice. Când și-a dat seama de consecințe, tânărul a trimis prin rețea instrucțiunile pentru stoparea virusului.
Melissa, apărut în 1999, este unul dintre primii viruși care s-au răspândit prin e-mail. Când utilizatorii deschideau un document atașat, primit prin e-mail, virusul trimitea copii ale documentului la primele 50 de persoane din agenda utilizatorului, infestând astfel mii de persoane în doar câteva ore.
Melissa a avut un impact atât de puternic, încât majoritatea companiilor gigant, printre care și Microsoft, au oprit toate sitemele de operare prin e-mail, până la găsirea unei soluții.
Love Bug, apărut în 2000, este tot un virus care se răspândește prin e-mail, computerul fiind infestat în momentul în care fișierul denumit “Love letter” este accesat.
Code Red, apărut în 2001, este primul virus de tip vierme apărut în rețeaua de Internet și care se răspândește prin scanarea rețelei pentru detectarea sistemelor de operare Windows NȚ server și Windows 2000 server care nu aveau instalat un patch de securitate de la Microsoft. De fiecare dată când găsea un server neprotejat se viermele se copia pe acel server.
Ulterior nouă copie începea să scaneze la rândul ei alte servere pe care să le infecteze. Microsoft a avut nevoie de mai bine de o luna pentru a găsi un remediu la acest virus.
Sasser, apărut în 2004, este un virus care „profită” de vulnerabilitatea sistemelor Windows și se propagă automat, fără vreun control din partea utilizatorului. Virusul închide computerul și îl repornește automat sau încetinește viteză de conectare la Internet. Sasser a atacat în special computerele care folosesc sistemele de operare Microsoft Windows 2000, NȚ și XP. b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a?
b#%l!^+a?
CAPITOLUL II
TIPURI DE ATACURI INFORMATICE
2.1 Programe de tip Adware
Adware este un tip de aplicație ce afișează sau descarcă automat programe pe un calculator. Majoritatea aplicațiilor adware sunt instalate neintenționat și pot duce la apariția frecvența a pop-up-urilor sau la infectarea calculatorului. Deși unele programe adware sunt legitimizate, cele mai multe tipuri de adware funcționează pe fundal, evitând detectarea și obținând și transmițând informații unui calculator sursă. Acest tip de adware se numește spyware și apare din ce în ce mai des pe Internet.
Istorie. Adware-ul a fost la început o formă legală de publicitate, reprezentând o extensie a Internetului. Majoritatea aplicațiilor adware permiteau utilizatorilor să aleagă dacă vor sau nu să instaleze software-ul.
Însă, odată cu trecerea anilor, companiile au început să forțeze utilizatorii să accepte instalarea de adware pe calculatoarele lor pentru a putea descarcă programe freeware sau alte aplicații.
Creatorii de adware au început să ascundă programele atunci când un număr tot mai mare de utilizatori de Internet a început să evite pachetele software ce conțineau și aplicații adware. De atunci, adware-ul a devenit din ce în ce mai sofisticat și mai greu de detectat. Odată folosit pentru reclame, adware-ul este acum folosit pentru a monitoriza activități online, pentru a detecta preferințele unui utilizator sau pentru a fură informații confidențiale.
Cum funcționează. În principiu adware-ul este o aplicație ce afișează o reclamă sau un pop-up în timp ce programul funcționează pe un calculator infectat. Aplicațiile adware contiun coduri ce trimit aceste reclame.
De multe ori sunt asociate cu alte programe. Rolul legal al programelor adware este de a asista în recuperarea costurilor pentru programele freeware. Însă, multe dintre aceste programe sunt create pentru alte întrebuințări, cum ar fi monotorizarea activității pe Internet sau furtul de informații confidențiale de la un utilizator. Adware-ul legal nu operează fără consimțământul utilizatorului.
Adware-ul de tip Spyware are că țintă informații bazate pe activitatea utilizatorului online, în timp ce alte programe Spyware, funcționează nedetectate de cele mai multe ori și obțin și trimit informații confidențiale altor calculatoare.
Identificarea. În funcție de tipul programului adware instalat, utilizatorul calculatorului poate experimenta o creștere în numărul de pop-up-uri, redirecționarea paginii principale a browser-ului, instalarea fără permisiune sau cunoștiință a unor programe și instrumente cum ar fi o bară de căutare pentru browser, sau link-uri adăugate la Favorite.
Aceste link-uri pot duce către site-uri legale însă de cele mai multe ori direcționează utilizatorul către site-uri cu jocuri de noroc, ilegale, , sau site-uri ce au conținut pornografic. Majoritatea programelor adware afișează reclame obișnuite, câteodată enervante, sub formă unui pop-up ce apare la un anumit interval de timp.
Alte programe adware afișează reclame doar când utilizatorul deschide browser-ul sau vizitează niște site-uri. Aceste site-uri nu sunt doar enervante ci și dăunătoare, unele fiind folosite pentru colectarea de informații personale. Acest lucru poate duce la furt de identitate sau fraudă bancară.
Soluții și prevenire. Nu este ușor să previi infectarea cu programe adware deoarece acestea sunt găsite de multe ori împreună cu programele de care ai nevoie.
Însă, infectarea cu asemenea programe poate fi prevenită prin evitarea programelor al căror creator este necunoscut și prin instalarea unui anti-virus de calitate sau prin folosirea detectorilor de spyware.
Utilizatorii de Internet nu ar trebui să acceseze pop-up-uri sau email-uri din surse necunoscute.
Eliminarea acestor programe se face cu ajutorul numeroaselor programe anti-adware și spyware. Aceste programe sunt create special pentru a găsi și a elemina, când este posibil, sau a pune în carantină fișiere adware atunci când ștergerea lor poate afecta alte aplicații
2.2 Programe de tip Rogue
b#%l!^+a?
Programele rogue sunt programe ce reprezintă antiviruși falși, programe anti-spyware sau programe de curățat regiștri false. Aceste programe induc în eroare utilizatorii pentru a instala programe false de înlăturare a programelor malware, programele în sine conținând programe de tip malware. Un studiu efectuat de Google la sfârșitul anului 2010 arată că există peste 11.000 de domenii ce găzduiesc programe rogue reprezentând programe antivirus false.
Programele rogue au scopul de a induce în eroare utilizatorii pentru a le instala pe sistemele de operare securizate. Un site web, de exemplu, poate afișa un dialog de avertizare fictiv prin care atestă că sistemul de operare al utilizatorului este infectat și să recomande instalarea sau cumpărarea unui program care să înlăture infecția. Programul recomandat este un fals program de securizare al sistemului informatic, el însuși fiind un program malware. Multe programe de acest gen au în componență un cal troian. Programele rogue pot fi deghizate în plugin-uri de browsere, în programe de tip screen-saver, în codec-uri multimedia necesare rulării unui videoclip, în programe de scanat fișiere malware sau în arhivele atașate unor e-mail-uri.
Recent, distribuitorii de rogue folosesc tehnici SEO pentru a aduce URL-urile unor site-uri infectate în primele poziții din motoarele de căutare. Utilizatorii ce dau click-uri pe aceste link-uri sunt redirecționați printr-o serie de site-uri până ajung la o pagină web care îi informează că sistemul lor de operare este infectat și recomandă instalarea unei aplicații de înlăturare a infecției.
Odată instalate, sistemele de securitate rogue avertizează utilizatorii cu detecții false de malware, afișează animații ce simulează erori de sistem sau ferestre de tip pop-up în care sunt prezentate avertismente și alerte de securitate, împiedică update-ul automat al sistemului de operare, blochează site-urile ce conțin scanere de malware, instalează malware pe computer, alterează sistemul de regiștri și setările de securitate și apoi anunță utilizatorul de prezența acestor nereguli în scopul de a achiziționa software care să rezolve problemele de securitate. Programele rogue pot dezactivează anumite părți din sistemul de operare pentru a împiedica dezinstalarea acestora.
Unii dezvoltatori de rogue pot atrage utilizatorii să cumpere produsele lor prin faptul că un anumit procent din vânzări se donează în scopuri caritabile. Celebru a fost cazul „Green Antivirus” care pretindea că dona 2 dolari din fiecare vânzare unui program de protecție al mediului.
Datorită numărului mare de instrumente anti-malware care face tot mai dificilă distribuirea de programe addware sau spyware, industria de programe de securitate rogue a devenit tot mai profitabilă.
2.3 Programe de tip Spymare
Programele spyware sunt programe care captează pe ascuns date de marketing și le folosesc apoi pentru a transmite utilizatorului reclame corespunzătoare dar nesolicitate. Prezența programelor spyware pe calculator este de obicei ascunsă utilizatorului, programul fiind instalat în mod secret.
Programele spyware colectează diverse tipuri de informații personale: obiceiuri de a naviga pe Internet și site-urile care au fost vizitate, dar pot interacționa și cu sistemul de operare al utilizatorului, cum ar fi instalarea de software adițional, redirecționarea activității browser-ului de web sau modificarea modului de comportare al unor motoare de căutare pentru a trimite utilizatorul în mod necerut la anumite site-uri.
Multe programe spyware afișează anunțuri de tip pop-up în mod regulat, de exemplu unul la câteva minute, sau atunci când utilizatorul deschide o nouă fereastră de browser. Alte programe afișează anunțuri doar când sunt vizitate site-uri cu un anumit conținut. Furnizorii de spyware doresc ca agenții de publicitate să plătească pentru furnizarea reclamelor atunci când utilizatorii vizitează site-urile de profil. Acesta este și unul din scopurile pentru care programele spyware adună informații cu privire la comportamentul utilizatorului.
Spyware-ul a devenit una din amenințările principale la computerele ce rulează sistemele de operare Microsoft Windows. Regiștrii Windows-ului conțin mai multe secțiuni care, prin modificarea valorilor cheie, permit programelor spyware să fie executate automat când pornește sistemul de operare. spyware-ul exploatează acest tipar pentru a împiedica încercările de eliminare din sistemul infectat.
De regulă spyware-ul își face o legătură din fiecare locație din regiștrii care permit execuția. Odată ce rulează, spyware-ul va verifica periodic dacă oricare dintre aceste link-uri sunt eliminate. Dacă da, ele vor fi reinstalate automat.
Acest lucru garantează că spyware-ul se va executa când pornește sistemul de operare, chiar dacă cea mai mare parte din link-urile din regiștri a fost eliminată. Din aceste motive programele spyware sunt foarte greu de înlăturat.
Programele spyware pot fi incluse în pachetele altor programe. Utilizatorii descarcă programele și atunci când le instalează programul de instalare adaugă și spyware-ul. Deși programul nu afectează calculatorul, spyware-ul reprezintă un program malware. În anumite cazuri autorii spyware-ului au plătit autorilor de software shareware introducere acestora în b#%l!^+a?pachetul programului. În alte cazuri autorii de spyware au reambalat programele shareware sau freeware împreună cu programele spyware.
Unele programe spyware pot afecta sistemul de securitate prin breșe de securitate a browser-ului web sau a altor aplicații. Atunci când un utilizator vizitează o pagină web controlată de un autor spyware, codul conținut de pagină atacă browser-ul utilizatorului și forțează descărcarea și instalarea spyware-ului.
Instalarea de spyware implică de foarte multe ori browser-ul Internet Explorer. Datorită popularității sale, a breșelor de securitate avute de-a lungul vremii și a integrării acestuia adânc în sistemul de regiștri a sistemului de operare Microsoft Windows l-au făcut cea mai căutată țintă. Browser-ul Internet Explorer servește și ca punct de atașament al programelor spyware sub forma de ajutor de navigare pe Internet, prin care se modifică afișarea rezultatelor motoarelor de căutare sau se redirecționează către anumite site-uri.
În anumite cazuri programele spyware au fost livrate de către alte forme de malware, ca de exemplu viruși sau viermi informatici. Exemplu a fost viermele Spybot ce a instalat spyware pe calculatoarele infectate care afișa ferestre cu conținut pornografic.
Un program spyware este rareori singur pe un computer infectat; de regulă infecțiile sunt multiple. Utilizatorii computerelor infectate observă frecvent comportamente nedorite ale sistemului de operare și o degradare a performanțelor sistemului. Infectarea cu un spyware duce creșterea activității procesorului, utilizarea hard disk-ului și traficului în rețea [82]. Problemele de stabilitate cum ar fi înghețarea anumitor aplicații, pornirea greoaie sau blocarea sistemului de operare, îngreunarea traficului în rețea reprezintă lucruri comune infecției cu spyware. Spyware-ul este cunoscut pentru faptul că schimbă setările calculatorului, schimbă diferite pagini de pornire pentru browser sau provoacă deconectări sau disfuncționalități ale Internetului sau ale altor programe.
În unele infecții spyware-ul nu este evident. Utilizatorii consideră că degradarea performanțelor sistemului de operare se datorează instalării anumitor programe ce utilizează prea multe resurse sau datorită sistemului de calcul învechit ce nu mai face față programelor software actuale.
Efectul cumulativ și interacțiunile dintre programele spyware pot face un computer inutilizabil. Anumite programe spyware dezafectează sistemele de securitate pentru a putea opera în voie și în felul acesta se creează breșe de securitate în sistemul de operare. De aceste breșe de securitate pot profita alte programe malware care se pot instala în sistemul de operare, ducând la încetinirea foarte mult a calculatorului, acesta fiind copleșit de numărul mare de procese parazite ce rulează pe el.
Unele programe spyware dezafectează sau chiar elimină alte programe spyware concurente pe motiv că prea multe programe de acest fel ce rulează pe un calculator îl pot determina pe utilizator să ia măsuri de eliminare a acestora. Un furnizor de programe spyware, Avenue Media, a dat în judecată o firmă concurentă, Direct Revenue. Mai târziu acestea au stabilit un acord prin care să nu-și dezactiveze produsele unele altora.
Autorii de spyware profită de pe traficului realizat către propriile site-uri datorită afișărilor preferențiale ale motoarelor de căutare sau datorită redirectării făcute de browser-ele de Internet. Furnizorii de spyware doresc de asemenea ca agenții de publicitate să plătească pentru furnizarea reclamelor atunci când utilizatorii vizitează site-urile de profil.
2.4 Analiza viermilor informatici
Viermii informatici sunt programe cu efecte distructive ce utilizează comunicarea între computere pentru a se răspândi. Viermii au trăsături comune atât cu virușii cât și cu troienii. Viermii informatici sunt capabili să se multiplice, asemenea virușilor, însă nu local, ci pe alte calculatoare. Folosesc rețelele de calculatoare pentru a se răspândi pe alte sisteme. Caracteristica comună cu a troienilor este faptul că viermii nu pot infecta un fișier; ei afectează sistemul. Conform RFC 1135, „un vierme este un program care poate rula independent, care consumă resursele gazdei pentru a se executa și care poate propaga o versiune funcțională a să către alte calculatoare”.
Viermii se răspândesc automat în cadrul rețelelor de calculatoare după principiul „caută și distruge” (Search and Distroy). Ei caută calculatoare ce prezintă vulnerabilități, se instalează pe sistemele respective, efectuează operațiile distructive pentru care au fost programați, compromițând securitatea sistemelor respective, după care încearcă să se răspândească mai departe. Factorul de multiplicare al viermilor este exponențial.
Viermii se pot răspândi prin email (folosind propriul motor SMTP sau un anumit client de e-mail, de obicei Microsoft Outlook sau Outlook Express), prin fișiere partajate în rețea, prin programele de mesagerie sau prin programe de partajare de fișiere. Din acest punct de vedere se poate face următoarea clasificare a viermilor:
viermi de e-mail: se răspândesc prin fișierele infectate atașate e-mail-urilor sau prin link-urile către site-urile infectate. Metodele cunoscute de răspândire sunt serviciile MS Outlook, conexiunile directe cu serverele SMTP utilizând un API (Application Programming Interface) SMTP sau funcțiile Windows MAPI (Messaging Application Programming Interface). b#%l!^+a?
Acești viermi sunt cunoscuți colecționarea adreselor de e-mail din cadrul calculatoarelor infectate din diverse surse: bazele de date din WAB (Windows Address Book), bazele de date cu e-mail-uri din MS Outlook sau orice fișiere cu extensii corespunzătoare ce vor fi scanate pentru preluarea adreselor de e-mail. De multe ori acești viermi combină nume posibile cu nume de domenii comune pentru a construi noi adrese de e-mail.
viermi de mesagerie instantanee: se răspândesc prin intermediul aplicațiilor de mesagerie instantanee prin trimiterea de link-uri către site-urile infectate pentru toți utilizatorii de pe lista de contacte locale.
viermi de Internet: acești viermi scanează toate resursele de rețea disponibile utilizând serviciile locale ale sistemului de operare și caută calculatoarele vulnerabile din Internet cu scopul de a se conecta la acestea și a avea acces deplin la ele. O altă metodă este cea de scanare a calculatoarelor vulnerabile din Internet ce nu au toate update-urile de securitate făcute. Aceste update-uri pot fi trimise sub forma unor pachete de date ce conțin viermele sau un utilitar ce va descărca și instala viermele pe calculatorul respectiv. De acolo viermele va căuta noi potențiale gazde.
viermi de IRC: canalele de chat sunt ținta principală a viermilor de IRC. Sunt trimise tuturor utilizatorilor unui anumit canal fișiere infectate sau link-uri către site-uri infectate cu viermi.
viermi de fișiere partajate în rețea: se auto-copiază în directoarele partajate în rețea. sub un nume inofensiv. Viermele va fi gata de transfer prin rețelele P2P și apoi acțiunea de infectare și răspândire în rețea va continua.
Viermii informatici aduc o serie întreagă de prejudicii calculatorului infectat, cum ar fi distrugerea unor fișiere importante din sistemul de operare, deteriorarea funcționării unor servicii critice pentru sistem sau degradarea performanțelor sistemului. Alte acțiuni distructive ale viermilor pot fi de creare a unor breșe în securitatea sistemelor informatice, de deschidere a unor porturi pentru a permite ulterior accesul creatorilor lor la sistemul informatic infectat, de ștergere a informațiilor de pe hard disk sau chiar de lansare a unor atacuri de refuz al serviciilor – DoS. Viermii pot fi programați să anunțe autorul acestora despre sistemele compromise pentru a le putea accesa și a efectua operații distructive.
Primul vierme informatic a fost lansat (probabil accidental) în Internet de către Robert Tappan Morris în 1988. Viermele a folosit aplicațiile sendmail, fingerd, and rsh/rexec pentru a se răspândi foarte repede pe Internet.
Au existat și viermi informatici creați în scopuri utile. De exemplu familia de viermi Nachi a încercat să descarce și să instaleze patch-uri Windows pentru a remedia anumite vulnerabilități de sistem. Deși au făcut aceste sisteme mai sigure, acești viermi au generat trafic suplimentar și au repornit calculatoarele după ce au făcut instalările de rigoare fără știința sau aprobarea utilizatorilor. Din acest motiv, toți viermii informatici, indiferent de scopul cu care au fost creați, reprezintă o formă de malware.
2.5 Analiza cailor Troieni
Caii troieni sunt programe „deghizate” ce încearcă să creeze breșe în sistemul de operare pentru a permite unui utilizator accesul în sistem. Troienii nu au facilitatea de a se auto-multiplica precum virușii informatici.
Troienii sunt alcătuiți din trei componente:
programul Server: programul propriu-zis al troianului ce infectează calculatorul victimă;
programul Client: folosit pentru conectarea la calculatorul infectat și pentru a trimite comenzi sau a primi informații;
programul Build/Edit Server: folosit pentru editarea programului Server.
Caii troieni se pot împărți în mai multe categorii, în funcție de scopul acțiunii lor:
backdoors: permite atacatorului să preia controlul asupra calculatorului victimă prin Internet;
password stealer: programe ce fură parole (citesc datele de la tastatură și le stochează în fișiere ce pot fi citite ulterior de către atacator sau pot fi trimise direct către contul de e-mail al atacatorului);
logical bombs: când sunt întrunite anumite condiții acești troieni pot efectua operații ce compromit securitatea sistemului;
Denial of Service tools: programe ce trimit anumite secvențe de date către o țintă (de obicei un site web), cu intenția de a întrerupe serviciile de Internet ale acelei ținte.
Un utilizator ce dorește să infecteze un calculator trebuie să aibă la îndemână toate cele trei componente ale unui troian. Programul ce va fi folosit pentru a infecta calculatorul victimă va fi programul Server. Acest modul va trebui configurat cu ajutorul programului Build/Edit Server.
b#%l!^+a? b#%l!^+a?
Fig. 2.1: Modulul Build/Edit Server al troianului SubSeven 2.1.5
Cu ajutorul acestui program se pot seta diverși parametri pentru programul Server, ca de exemplu:
modalitatea de pornire a serverului pe calculatorul victimă (se poate seta ca serverul să pornească la fiecare repornire a sistemului de operare);
adresa de e-mail către care va trimite notificări atacatorului;
numărul portului ce va trebui deschis în cadrul calculatorului victimă pentru a face posibilă conexiunea cu atacatorul;
parola de acces la calculatorul victimă (pentru a nu permite si altor persoane accesul la calculatorul infectat);
mesajul de eroare ce va apare în momentul accesării fișierului Server (în cazul în care programul Server apare sub forma unui fișier multimedia și în momentul accesării nu se întâmplă nimic, pentru a nu trezi suspiciuni utilizatorului va trebuie setat un mesaj de eroare similar mesajelor afișate de sistemul de operare);
Odată ce programul Server a fost configurat, utilizatorul ce dorește să infecteze un sistem va trebui să găsească o modalitate prin care să trimită fișierul respectiv calculatorului victimă. În momentul în care fișierul Server va fi accesat pe calculatorul victimă, troianul va infecta sistemul de operare și va permite accesul la acesta. Următorul pas este folosirea programului Client pentru conectarea la Serverul ce rulează pe calculatorul infectat. În felul acesta utilizatorul rău intenționat va avea acces la sistemul de operare și la sistemul de fișiere al calculatorului victimă.
Cu ajutorul unui cal troian se pot obține informații despre sistemul calculatorului infectat sau despre rețeaua de calculatoare din care face parte, informații ce pot fi folosite în cadrul altor atacuri. Se pot fura parole de la conturi de e-mail sau conturi bancare prin intermediul unui program de genul keylogger (citește datele introduse de la tastatură) încorporat în cadrul troianului, date ce sunt stocate într-un fișier ascuns ce poate fi citit ulterior de către atacator sau poate fi trimis la una din adresele de e-mail specificate de atacator. Accesul atacatorului la calculatorul victimă presupune și accesul complet la sistemul de fișiere al sistemului, fiind posibilă copierea, modificarea sau chiar ștergerea tuturor datelor.
De regulă caii troieni reprezintă o consolă în care atacatorii inserează comenzile specifice, dar au existat și cazuri de troieni ce au avut programul Client sub forma unei interfețe grafice în care comenzile se puteau da prin niște simple click-uri de mouse. Un astfel de cal troian a fost SubSeven, troian ce a beneficiat de numeroase versiuni, ultimele având o interfață grafică foarte complexă și ușor de folosit.
Fig. 2.2: Modulul Client al troianul SubSeven 2.1.5
Programul Client al troianului Subseven, versiunea 2.1.5 beneficiază de 7 module: Connection, Keys/Messages, Advanced, Miscellaneus, Fun Manager, Extra Fun, Local Options.
Modulul Connection este folosit pentru configurarea opțiunilor de conectare la programul Server ce rulează pe calculatorul infectat, modulul Keys/Messages pentru trimiterea de mesaje, modulul Advanced pentru urmărirea activității pe Internet, pentru furtul de parole, și pentru editarea regiștrilor, modulul Miscellaneus pentru accesarea sistemului de fișiere și b#%l!^+a?efectuarea de operații cu acestea, modulele Fun Manager și Extra Fun pentru realizarea de operații cu efecte „hazlii” pentru atacator (răsturnarea imaginii de fundal, inversarea comenzilor mouse-ului, captură de ecran), modulul Local Options fiind folosit pentru setarea unor opțiuni locale.
Dacă troienii anilor ‘90 au avut ca principal scop vandalizarea calculatorului victimă (ștergerea fișierelor sau formatarea hard disk-ului) și elementele distractive pentru atacator (oprirea monitorului, deschiderea CD-ROM-ului sau trimiterea de mesaje amuzante), troienii din anii ’00 au avut ca scop furarea parolelor și în special a datelor despre conturile utilizatorilor, troienii de la începutul acestui deceniu sunt foarte bine puși la punct tehnologic și au ca principal scop terorismul cibernetic.
2.6 E-mail Phishing
Un nou tip de atac asupra calculatoarelor personale și mai ales asupra corporațiilor este modalitatea de „pescuire” a informațiilor din computer și a informațiilor despre utilizator.
Termenul de „phishing” l-ați auzit, poate, de multe ori, însă știți cu adevărat ce înseamnă? Este într-adevăr periculos sau este doar o alarmă falsă? Cert este că hackerii nu dorm. Oricât de mult ne-am lua măsuri, ei descoperă noi metode de a pătrunde prin zidul de securitate dintre computer sau rețea și Internet. Însă această nu înseamnă că nu ne putem proteja de aceste noi metode de scotocire prin documente. Fenomenul este mai puțin cunoscut în România, dar suntem la fel de expuși, ba chiar mai expuși decât utilizatorii din alte părți ale lumii. De aceea trebuie să înțelegem cu adevărat ce este și cum funcționează metodă de fraudare numită PHISHING.
„Pescarii” utilizează e-mail-urile de tip spam pentru a-și direcționa victimele către site-uri web create de către hackeri, site-uri care la prima vedere par a fi de încredere. Cele mai vizate site-uri sunt cele de comerț electronic. Câți dintre dumnevoastră nu ați primit un mesaj urgent de la un „pescar” travestit într-un reprezentant de încredere al site-ului unei companii de e-commerce recunoscută, încercând astfel să captureze de la dumneavoastră informații personale sub un anume pretext. „Anti-Phishing Working Group” apreciază că aproape cinci procente dintre destinatarii e-mail-urilor provenite de la „pescari” răspund acestora, intrând astfel în hora. Procentul este mult mai mare dacă ținem cont că la e-mail-urile de tip spam răspund numai unu la sută dintre destinatari.
„Pescarii” și-au dezvoltat metodele și tehnicile de „pescuire”, utilizând coduri malițioase ascunse în fișiere foto sau în aplicații Web, aplicații care instalează diverse aplicații fantomă, care sunt activate imediat ce e-mail-ul respectiv este deschis și care accesează pagini Web care par inofensive la prima vedere, dar care în realitate îți „aplică o lovitură” când tu ești fără apărare. Care ar putea fi efectele acestor manevre? Destul de simplu. Ei pot anihila eforturile celor care promovează comerțul electronic, având impact asupra utilizării serviciilor online.
Este de așteptat că în cursul acestui an numărul celor afectați de nouă metodă de atac să fie din ce în ce mai mare. Experții în securitate apreciază că nu va există companie care să nu fie atacată în acest mod. Din acest motiv, multe dintre companii au apelat la servicii de monitorizare zilnică a rețelei proprii, astfel încât să fie alertați în timp util în legătură cu atacurile care-i implică.
Deoarece phishing-ul este o metodă de furt de identitate, este de așteptat că astfel de atacuri să fie orientate către centrele de date și în special către companiile mari.
Dar asta nu înseamnă că utilizatorul obișnuit este lăsat în pace. Pentru hackeri orice victima este prețioasă; orice identitate este valoroasă. Informațiile obținute din această sursă sunt folosite cu succes pentru fundamentarea altor scheme de atac asupra respectivei entități.
De exemplu, trimițând un e-mail de tip spam unei liste de clienți despre care se cunoaște că utilizează același serviciu bancar este mult mai eficient pentru „pescari” decât să aleagă persoanele la întâmplare. Prin analogie cu viață reală, pentru a pescui ai nevoie de un cârlig. Dacă pescarul a reușit să obțină informații despre un utilizator nu-i rămâne decât să se folosească de aceste informații.
Astfel hoțul pătrunde în interiorul bazei de date travestit că utilizator, poate accesa toate resursele rețelei și va genera milioane de cazuri de furt de identitate. Deoarece sunt foarte eficiente, metodele de „pescuire” devin din ce în ce mai sofisticate și mai des utilizate, ceea ce determina o creștere masivă a celor induși în eroare. În consecință, „sezonul de pescuit” este oficial deschis, dar asta nu înseamnă că nu există prohibiție. Vestea bună este că cele mai multe dintre măsurile software de securitate, adoptate pentru protecția antivirus pot proteja compania și împotriva acestor intruși.
Asemenea virușilor, această modalitate de atac a fost lansată de hackerii doritori să se strecoare nevăzuți în oricare computer apărut în cale . La început ți se pare că nu s-a întâmplat nimic, dar dintr-o dată vei observă că lucrurile merg din ce în ce mai prost. Această metodă se dovedește foarte eficientă în fraudă bancară, sistemele slab protejate fiind vulnerabile în față b#%l!^+a?unui „jaf” de proporții. Atacatorii folosesc anunțuri și spam-uri pentru a instala un virus de tip troian care capturează parolele și celelalte detalii bancare. Metodă este practicată cu precădere pentru transferarea fondurilor ilegale în diverse rețele bancare – o nouă metodă de spălare a banilor.
Motivele pentru care există foarte multe persoane care cad în plasa „pescarilor” sunt multiple. Cei induși în eroare au și ei deficiențele lor, nu numai de securitate a calculatoarelor, ci mai ales de limba. Mesajele sunt scrise în engleză de cele mai multe ori, iar înțelegerea aproximativă a textului poate duce la considerarea lor că mesaje reale. Cel mai recent mod de operare al pescarilor este acela de a lansa prin e-mail un cod capabil să modifice modul și adresa de accesare a paginilor Web, astfel încât în momentul în care accesezi Internetul ești redirecționat automat către o pagină de web falsă.
Această metodă poate afecta orice afacere sau companie care are o componentă online. Phishing-ul poate afecta, de asemenea, securitatea rețelei. De exemplu, dacă într-o companie utilizatorilor le este permis să-și aleagă singuri „user name”-ul și parolă, acestea ar trebui să își revizuiască politică de securitate . Când un pescar află, de exemplu, că Popescu Ion este utilizator al unui site de comerț electronic și acesta se autentifica cu username „pion” și parolă „superman”, ei vor folosi această informație pentru a se autentifica în locul acestuia pentru a află mai multe informații despre el. Astfel, vor află la ce companie lucrează și dacă această este de interes, vor încerca să acceseze rețeaua respectivei companii utilizând același user name și parolă. Astfel, din aproape în aproape, „pescarii” vor încerca să afle user name-ul și parolă administratorului de rețea. Astfel, o dată autentificati în rețea cu entitatea Popescu Ion, vor încerca să afle informații despre alți utilizatori ai acelei rețele până când reușesc să prindă „peștele cel mare”.
Cum ne apărăm? Una dintre metodele de combatere a phishing-ului este, după părerea experților, educarea utilizatorilor. Dar practic această are strânsă legătură cu noțiunea pe care o au utilizatorii despre utilitatea e-mail-urilor necunoscute primite. Utilizatorii interni sunt veriga cea mai slabă din lanțul de securitate a rețelei. Totuși, foarte mulți au învățat că nu trebuie să deschidă e-mail-urile venite de la adrese necunoscute sau cele cu titluri ciudate, precum și cele cu content dubios. Opinia generală este că ar fi suficient să avertizezi în legătură cu existența phishing-ului și a efectelor acestuia. Pe termen lung companiile trebuie să ajungă la o înțelegere în a utiliza o modalitate de legitimare unanimă acceptată pentru autentificarea e-mail-urilor. Un certificat de expeditor de încredere poate funcționa cu S/MIME, o aplicație suportată de cele mai multe dintre aplicații de e-mail.
Cel mai util ar fi că fiecare e-mail să conțină o semnătură digitală a celui care l-a trimis, iar această semnătură să fie un standard de autentificare. Ce ați putea face pentru a înlătura astfel de pericole? O idee este aceea de a diversifică detaliile necesare pentru autentificare.
2.7 E-mail spamming
În Tehnologia Informației, spam se referă la mesaje email nesolicitate trimise în bloc (junk email). Această înseamnă că un mesaj cu conținut comercial sau chiar irelevant este transmis către o multitudine de destinatari, care nu l-au solicitat.
Mesajele spam constituie un subiect controversat în Curțile de Justiție de pretutindeni, mai ales în ce privește dreptul de a trimite mesaje către adrese de email publice și private. Este mai curând o problema de consimțământ, decât de conținut.
Pe lângă mesajele de email, autorii de spam dezvoltă noi cai de atac, folosind de exemplu mesageria instant/ instant messaging (spim), weblogs, Short Messagaing Service (SMS) sau pretinzând că oferă servicii de optimizare pentru motoarele de căutare pe Internet(spamdexing).
Scopul mesajelor spam. Scopul acestor mesaje este de a tentă persoanele neavizate, să cumpere produse și servicii mai mult sau mai puțin legitime. Dacă în trecut, principalul motiv era de a bombarda newsgroup-uri sau liste de email cu mesaje inutile sau inadecvate, în prezent spam-ul este „perfecționat”, orientându-se către interese bănești. Întâlnim în mod curent spam comercial și uneori spam legat de anumite momente (campionate internaționale, evenimente, subiecte de interes global).
Cele mai cunoscute obiective de email spam sunt:
Promovarea și vânzarea de produse și servicii.
Culegerea de informații confidențiale (harvesting), cum ar fi parole, conturi bancare, etc. prin loterii online, fraude bancare sau mesaje umanitare.
Promovarea de concepte și ideologii.
Trimiterea de spam viral:
Infectarea și transformarea sistemului destinatar în PC zombie, pentru a formă rețele periculoase (botnets).
Furt de identitate și fraudă.
Metode de email spamming. Autorii de spam oferă de obicei serviciile lor (deseori ilegale) companiilor sau persoanelor care caută un mod „mai ieftin” de a-și promova produsele. b#%l!^+a?
Spammerii fie vând bazele de date companiilor interesate, fie vând serviciul complet: colectare de date, proiectarea canalului de transmitere a mesajului, pentru a evita detectarea sursei, și trimiterea de spam.
Promotorii câștigă prin plasarea costurilor de publicitate asupra destinatarilor mesajului.
Mesajul spam este expediat către colecții de adrese de email, culese prin diverse modalități:
Harvesting (folosirea unor programe de căutare a adreselor de email în zonele publice, pe site-uri web sau pe servere de mail neprotejate);
Flooding sau dictionary spamming (generarea automată de conturi pe anumite domenii);
e-pending (căutarea de adrese valide pentru anumite persoane sau criterii);
Usenet posting (trimiterea către newsgroup-uri);
Înscrierea în liste de email, cu scopul de a obține acces la lista tuturor adreselor disponibile;
Accesarea agendei de contacte sau a datelor personale ale utilizatorilor, folosind programe malware;
Spionarea traficului de rețea;
Sustragerea bazelor de date cu informații;
Folosirea de viruși care înregistrează datele introduse de utilizatori în formulare online.
Consecințe. Diverse sisteme sunt traversate de mesajul spam până ce acesta ajunge la destinație, pentru a ascunde expeditorul real.
Furnizorii de servicii de Internet (ISP) se confruntă cu probleme serioase de costuri și funcționare, cum ar fi timp de procesare, viteză de procesare, costuri pentru lățimea de bandă.
Companiile și utilizatorii personali trebuie să aplice liste sau scheme de filtrare, care măresc volumul din sistem, prin procesarea și stocarea unor cantități mai mari de date.
Livrarea de mesaje și navigarea pe Internet sunt încetinite considerabil. Mesajele cu spam viral răspândesc malware și sustrag date confidențiale. Un mail-inbox aglomerat este un factor stresant pentru orice utilizator.
Cum evităm mesajele spam:
Folosiți soluții antivirus și antispam, actualizate în permanentă.
Actualizați în mod regulat sistemul de operare și aplicați cele mai recente „patch”-uri.
Verificați întotdeauna autenticitatea expeditorului și folosiți semnătură digitală.
Aplicați filtre de conținut, reguli euristice, filtre baysiene, graylists.
Nu deschideți mesajele suspecte.
Nu răspundeți și nu trimiteți mai departe mesajele spam.
Nu folosiți instrucțiunile de dezabonare din astfel de mesaje.
Ignorați mesajele care susțin că „ați solicitat” ceva sau că ați încercat să trimiteți un mesaj și ați primit o „eroare de transmitere”.
Folosiți conturi de email și nume diferite, când va înscrieți în newsgroups ori chat rooms.
Mascați adresa de email (de exemplu adăugând un șir de caractere la numele domeniului: [anonimizat]) sau mai bine nu va publicați adresa pe Internet.
2.8 Stuxnet
În luna iunie 2010 un nou tip de vierme informatic și-a făcut apariția:Stuxnet, un virus care are capacitatea de a infecta sistemele industriale. Acesta a infectat, se pare, computerele unei centrale nucleare iraniene, generând reacții ale statului iranian.
Stuxnet este un vierme informatic care se răspândește pe calculatoare pe care este instalat sistemul de operare Windows, a fost descoperit în luna iunie de o firmă din Belarus numită Virus Blok Ada și este primul virus de calculator care are rolul de a spiona și de a reprograma sistemele industriale. A fost scris pentru a ataca sistemele de control și achiziție a datelor folosite pentru controlul și supravegherea proceselor industriale. Stuxnet are capabilitatea de a reprograma controlerele programabile(supercomputere care gestionează procesele automate dintr-o fabrică) și de a-și ascunde modificările efectuate.
Stuxnet este primul virus care are ca țintă infrastructura industrială. Obiectivul probabil al viermelui Stuxnet a fost acela de a prelua controlul unor computere iraniene care foloseau sisteme de control Siemens. Articole de presă au avansat ideea că Stuxnet a reușit să infecteze chiar sistemul nuclear al Iranului din Natanz și a întârziat pornirea centralei nucleare din Bushehr. Acesta ar fi fost răspândit de pe laptopurile unor ingineri ruși cu care inginerii iranieni lucrează împreună pentru dezvoltarea programului nuclear al Iranului.
Iată o detaliere a modului de funcționare a viermelui Stuxnet, precum și o interpretare a semnificației apariției acestuia, preluate de pe site-ul criminalitate.info.
"S-a scris mult pe seama acestuia (a viermelui Stuxnet) și se va scrie mult în continuare, deoarece prezintă câteva elemente interesante care aduc la realitate scenariile imaginate până acum doar în teorie referitoare la capacitatea de a ataca informatic infrastructura critică, a b#%l!^+a?cărei funcționare defectuoasă poate genera urmări grave, precum explozii de instalații industriale:
virusul infectează computerele prin stick USB – nefiind nevoie de conexiune la internet;
se actualizează din aproape în aproape în rețea prin metoda peer to peer;
se comportă diferit în funcție de tipul de computer pe care l-a infectat – dacă nu este un computer care coordonează procese industriale, desfășoară doar activități de multiplicare pentru a răspândi infecția;
depistează dacă a fost instalat pe un computer industrial și caută conexiuni la dispozitivele digitale de coordonare a proceselor industriale;
reprogramează aceste dispozitive de control și le monitorizează activitatea;
ascunde infectarea și reprogramarea dispozitivelor astfel încât operatorul să nu detecteze modificarea comportamentului dispozitivului;
virusul a fost descoperit în luna iunie a acestui an – după ce a infectat cu succes computere industriale din mai multe țări și continente;
folosește pentru a se multiplica 4 vulnerabilități necunoscute anterior ale sistemului de operare Windows;
este semnat digital cu certificate aparținând unor companii importante producătoare de componente PC și drivere pentru acestea (una din ele este Realtek). Semnătura digitală are rolul de a le indica programelor antivirus că programul software provine de la un producător legitim – semnătura permițând virusului să treacă ușor de una din metodele cele mai răspândite de protecție folosite de antiviruși.
Diverși autori au imaginat astfel de scenarii de-a lungul timpului în încercarea de a avertiza asupra a probabilității unor asemenea atacuri informatice. Stuxnet este primul exemplu concret că astfel de atacuri sunt posibile.
Chiar dacă acest virus care a fost denumit în media "prima armă informatică în adevăratul sens al cuvântului" nu a produs încă o explozie undeva, avem un precedent și există acum obiect de studiu pentru crearea de eventuale alte astfel de programe și variante de atac cu urmări grave."
Conform unui studiu realizat de compania Symantec, situația infectării computerelor din diferite țări cu virusul Stuxnet este următoarea:
Cine a produs Stuxnet? Deși nu se cunoaște cu certitudine cine stă în spatele acestui vierme informatic, presa internațională și experți în IT au propus unele ipoteze. Experți ai firmei de securitate informatică Lumension au afirmat că Stuxnet este "cel mai rafinat cod viral descoperit vreodată, dedicat afectării infrastructurii critice". Symantec crede că grupul de programatori care a dezvoltat Stuxnet trebuie să fi fost unul bine finanțat, alcătuit din 5-10 persoane și au avut nevoie de aproximativ 6 luni pentru a scrie codul.
Actori importanți din media internațională, ca The Guardian, BBC și The New York Times au emis ipoteza că numai o țară ar fi putut produce un cod de așa o complexitate, iar indicațiile privind această națiune merg către Israel, care, după cum se știe, nu se află în relații deloc bune cu Iranul, țară afectată major în prima parte a răspândirii virusului.
Există antidot la Stuxnet? Firma Siemens a reacționat rapid și a dezvoltat un soft de identificare și eliminare a viermelui informatic Stuxnet. De asemenea, Siemens a mai recomandat instalarea patch-urilor Windows pentru eliminarea vulnerabilităților sistemului de operare, precum și dezactivarea porturilor USB, calea de răspândire a Stuxnet.
2.9 Freak
Ce este Freak? Freak este cea mai recentă vulnerabilitate descoperită în protocoalele de criptare, folosite în mod normal pentru a cripta conexiunile online, cunoscute sub denumirea de SSL și TLS.
Vulnerabilitatea a fost găsită în mod special în OpenSSL, același protocol care a fost în centrul controversei Heartbleed, anul trecut. Exploatat, bug-ul poate oferi acces hackerilor la b#%l!^+a?informații cu caracter personal, date de logare pe anumite conturi, inclusiv date bancare.
Cine l-a descoperit? Freak, deși există încă de prin anii ’90, a fost descoperit doar în 3 martie 2015, de cercetătorii de la institutul Francez de cercetare în calculatoare și automatică, Microsoft research și IMDEA.
De ce bug-ul a fost prezent atât de mult timp și nimeni nu a acționat? Problema datează încă de la începutul anilor ’90 când guvernul Statelor Unite ale Americii interzicea producătorilor de software să exporte produse cu criptare puternică.
Concret, acest lucru însemna că unele companii de software americane au exportat versiuni ale produselor lor cu criptare mai slabă, pentru utilizare externă. Însă, când legea a fost schimbată și a devenit legal exportul de produse software cu criptare puternică, “vechile chei de criptare nu au fost eliminate din protocoalele de securitate SSL/TLS deoarece unele software-uri încă depindeau de acestea”, a declarat Ed Felten, profesor de informatică la Universitatea Princeton.
Cine este vulnerabil la bug-ul Freak? Conform cercetătorilor, din punctul de vedere al utilizatorului, browserul Safari – atât web cât și pe dispozitivele mobile precum Iphone, Ipad și Mac – precum și toate versiunile Android. De asemenea, aplicațiile care utilizează o versiune de OpenSSL mai veche de 1.0.1k sunt și ele vulnerabile.
Chrome-ul pentru desktop, Internet Explorer Microsoft și Mozilla Firefox nu prezintă vulnerabilități.
În ceea ce privește partea de servere, potrivit cercetătorilor, s-ar părea că doar 10% din site-uri, la nivel mondial, sunt vulnerabile. Acest procent este în continuă scădere, demonstrând faptul că proprietarii de site-uri își remediază problema.
Totuși, încă sunt multe site-uri vulnerabile bug-ului Freak, din domeniul bancar, media, guvernamental, printre care se numără website-ul American Express, hotelul Marriot, Business Insider, whitehouse.gov și lista continuă.
Cum pot hackerii exploata bug-ul Freak? Un hacker s-ar putea folosi de această vulnerabilitate doar dacă este conectat la aceeași rețea. Acesta i-ar permite să intercepteze comunicară criptată dintre un dispozitiv vulnerabil și un site vulnerabil, să vadă conținutul într-un text simplu. Concret, acest lucru s-ar putea realiza prin accesarea site-urilor vulnerabile de pe un dispozitiv cu un browser vulnerabil la bug-ul Freak, conform celor enumerate. Ulterior, hackerii ar putea forță website-ul să utilizeze vechea criptare, care nu mai este recunoscută de dispozitivele și browserele moderne.
Ce spune Apple și Google despre Freak? Compania Apple a răspuns imediat ce s-a aflat de bug-ul Freak, menționând că sunt conștienți de această problema și deja lucrează intens pentru a o rezolva: ” Avem deja soluționarea, care va fi implementată în iOS și OS X în update-urile de soft săptămâna viitoare“. Google a dezvoltat deja un patch și l-a trimis utilizatorilor pentru update pentru dispozitive și rețele wireless.
Ar trebui să nu mai folosesc dispozitivele de la Apple sau sistemul de operare Android? Nu este necesară încetarea utilizării dispozitivelor vulnerabile. Așa cum bug-ul a fost prezent timp de ani de zile, acum descoperit, ar trebui un efort destul de mare din partea hackerilor să îl exploateze. Până atunci, cel mai probabil, problema va fi soluționată.
Totuși, cea mai simplă metodă de a te proteja este să nu accesezi rețele wireless publice, de unde să intrii pe site-uri în care să îți introduci date cu caracter personal și să îți faci update de soft sau browser atunci când Google și Apple vor trimite notificările.
CAPITOLUL III
VULNERABILITATEA SITE-URILOR
3.1 Vulnerabilitatea Https
Un grup de cercetători specializați în securitatea IT au detaliat o vulnerabilitate în sistemul de criptare https care ar permite un atac al piraților Internetului chiar asupra celei mai comune metode de securizare folosite de browsere.
Vulnerabilitatea afectează mai precis Transport Layer Security TLS 1.0, succesorul SSL (Secure Sockets Layer). TLS este mecanismul de criptare folosit acum în HTTPS (Secure Hypertext Transfer Protocol). Sistemul este folosit de bănci, site-uri financiare, sisteme de autentificare online și chiar pentru accesul la email sau conturi de social media.
În fiecare deceniu apară un număr restrâns de abuzuri care să scoată la iveală vulnerabilități cu adevărat semnificative.
Aplicația BEAST(Browser Exploit Against SSL/TLS), creată de Thai Duong și Juliano Rizzo se numără printre acestea deoarece compromite conexiunile SSl/TLS folosite zilnic de milione de browsere web.
Deși BEAST nu poate „sparge” ultima versiune TLS (standarul curent bazat pe SSL) majoritatea browserelor și cea mai mare parte din site-uirle web care suportă conexiuni criptate folosesc versiunea 1.0 a SSL/TLS, versiune care este vulnerabilă.
Producătorii de browsere web și site-urile web se grăbesc să treacă la criptarea TLS 1.1 sau 1.2 însă cât de repede se va face trecea depinde de numărul de atacuri care vor avea loc.
Până în momentul de față jucătorii importanți din domeniul aplicațiilor de navigat pe internet fie am implementat TLS 1.1/1.2 în aplicațiile lor fie au realizat o repearatie temporară pentru a preveni acest tip de atatc.
Aplicația BEAST exploatează o vulnerabilitate cunoscută de acum 10 ani dar care era considerată imposibil de exploatat.
Această permite unui atât de tipil MiM(Man în the Middle) să acceseze și să compromită cookie-ul SSL/TLS folosit de HTTPS. Acest lucru permite atacatorului să deturneze conexiunea HTTPS activă sau să „asculte” conversația care inițial era criptată.
Atacurile de tip MiM sunt foarte simplu de efectuat în momentul încare atacatorul și victima sunt în aceeași rețea locală (rețele wireless, VPN sau rețele LAN aparținând unor companii).
Unele programe precum Cain & Abel realizarea atacurile MiM și detectarea pachetelor trimise în cadrul rețelei la fel de simplu precum apăsarea unui buton.
O eroare mai veche devine critică. BEAST profită de faptul că versiunile precedente TLS 1.1 nu folosesc un vector de initializare implicit aleator pentru fiecare subsecventă consecutivă de date inițiată în cadrul conexiuni HTTPS. Acest lucru a fost inițial discutat în 2002 la un forum de dezvoltare OpenSSL.
Această eroare vulnerabilitate este similară cu cea găsită în protocolul WEP, care a scăzut în mod semnificativ protecția reteleor wireless.
Eroarea nu este nouă, dar mulți apărători ai protocolului au contracarat acuzele spunând că este aproape imposibil de creeat condițiile necesare pentru exploaterea ei. Duong și Rizzo, experți în domeniul securității au reușit să genereze acele condiții.
BEAST acționează prin generarea unor blocuri de date „cunoscute” care sunt criptate folosind vectori de iterare cunoscut.
În cazul versiunilor precedente TLS 1.1 vectorii de iterare al unui pachet de date este ultimul cifru de text al pachetului precedent. Acest lucru face criptarea destul de vulnerabilă întrucât majoritatea informațiilor criptate transmise folosesc sistemul CBC (chiper-block chaining) pentru a crește viteză.
În modul CBC fiecare bloc de text simplu este criptat folosind informații din blocul precedent.
Ceea ce face fiecare subsecventă de date unică este vectorul de iterare care este generat aleator. Cel puțin în teorie deoarce în practică primele versiuni ale SSl, TLS și WEP acest lucru nu se întâmplă.
BEAST folosește cod JavaScript care rulează pe aplicația de navigare a victimei pentru a iniția maultiple blocuri de date criptate, fiecare bloc având un vector de iterare cunoscut dar și conținutul necriptat al blocului(într-un sistem ideal de criptare nici una din aceste informații nu ar trebui să fie accesibilă atacatorului).
Acest tip de ață a fost creat în mod teoretic în 2006 de către Gregory V. și a condus către dezvoltarea TLS 1.1.
Din nefericire versiunile TLS 1.1 și 1.2 nu sunt impuse în mod implicit nicăieri – și pentru a fi eficente toate celelelalte protocoale HTTPS ar trebui dezactivate de cel puțin una din părțile conexiunii.
Majoritate site-urilor protejate HTTPS nu vor facă trecerea ctre TLS 1.1 sau 1.2 prea curând iar dacă va actualizați aplicația de navigare pe internet și dezactivați protocoalele b#%l!^+a?vulnerabile nu veți fi capabil să va conectați la majoritatea serverelor HTTPS.
TLS 1.1 în cadrul aplicațiilor de navigare. Doar câteva din cele mai polulare aplicații suportă TLS 1.1 și chiar și în cazul acestora este posibil să nu fie activat în mod implicit. Cele mai noi versiuni ale Internet Explorer, Opera și Safari pentru Windows suportă TLS 1.1 sau 1.2 . Google Chrome a reparat vulnerabilitatea este așteptat să introducă TLS 1.1. sau 1.2. Atacurile BEAST sunt o amenințare serioasă la adresa browserelor web. Cerință unui atât de tipul MiM va încetini viteză atacurilor, lucru care va furniza un ragaza producătorilor de aplicații cât și administratorilor de servere.
Știm de această vulnerabilitate de cel puțin 10 ani și totuși a fost nevoie de creerea unei unelte care să faciliteze un atac pentru a ne face să renunțăm a un protocol vechi de cel puțin jumatete de deceniu.
Este puțin probabil ca BEAST să impacteze milioane de utilizatori imediat însă pentru victimele nefericite implicațiile vor fi grave. dacă avem noroc BEAST va fi înregistrat în istoria că un semnal de alarmă și nu că un dezastru de securitate.
3.2 Vulnerabilitate a protocolului SSL 3.0
În septembrie 2014, un grup de cercetători a descoperit o vulnerabilitate a protocolului SSL 3.0 (CVE-2014-3566), denumind-o POODLE, acronim pentru "Padding Oracle On Downgraded Legacy Encryption". Această vulnerabilitate se datorează unui mecanism care reduce securitatea comunicației pentru o mai buna interoperabilitate intre sistemele ce utilizează SSL/TSL.
Descriere. Vulnerabilitatea SSL 3.0 rezultă din modul în care blocurile de date sunt criptate în cadrul unui anumit tip de algoritm de criptare în protocolul SSL.
Atacul POODLE profită de funcția de negociere a versiunii de protocol din SSL/TLS, pentru a forța utilizarea SSL 3.0, și apoi folosește această vulnerabilitate pentru a decripta conținutul din cadrul sesiunii SSL.
Decriptarea se face octet cu octet și necesită un număr mare de conexiuni între client și server.
Deoarece SSL 3.0 este un standard de criptare vechi și a fost, în general, înlocuit de TLS, cele mai multe implementări SSL/TLS rămân compatibile cu SSL 3.0 pentru a interacționeze cu sistemele existente (legacy).
Atacul POODLE folosește faptul că, atunci când o încercare de conexiune securizată eșuează, serverele vor negocia folosirea unor protocoale mai vechi, cum ar fi SSL 3.0.
Un atacator care poate declanșa o eroare de conexiune, poate forța apoi utilizarea SSL 3.0 și exploatarea vulnerabilității.
La 08 decembrie 2014, a fost raportat public ca si unele versiuni ale TSL sunt vulnerabile atacului POODLE, datorită acceptării conexiunilor SSL 3.0.
Impact. Atacul POODLE poate fi folosit împotriva oricărui sistem sau aplicație care acceptă SSL 3.0 cu cifruri de tip CBC (Cipher Block Chaining).
Prin exploatarea acestei vulnerabilități, un atacator poate obține acces la date sensibile transmise în cadrul sesiunii criptate, cum ar fi parole, cookie-uri și alte date de autentificare care pot fi apoi utilizate pentru a obține acces neautorizat la serviciile/resursele unui utilizator.
Pentru a efectua un atac care exploatează vulnerabilitatea POODLE, un atacator trebuie să îndeplinească două condiții: să poată controla porțiuni din conexiunea SSL dintre client și server și să poată vizualiza rezultatul criptat (ciphertext).
Cea mai frecventă modalitate de a avea aceste condiții ar fi de a acționa ca Man-in-the-middle (MITM), ceea ce necesită un tip separat de atac pentru a avea nivelul de acces necesar.
Aceste cerințe fac oarecum dificila exploatarea vulnerabilității. Totuși, există medii cu un grad de risc mai mare , cum ar fi rețelele wireless (WIFI) publice unde atacul poate fi efectuat mai ușor.
Măsuri de soluționare. Deoarece pentru realizarea atacului este nevoie de o conexiune SSL 3.0, dezactivarea suportului SSL 3.0 in client și/sau server rezolva această problemă.Totuși, dezactivarea suportului pentru SSL 3.0 este uneori imposibilă dacă se dorește b#%l!^+a?păstrarea unei compatibilități cu anumite sisteme existente (legacy).
Pentru a preveni atacurile de tip downgrade, atât clienții cât și serverele trebuie să utilizeze extensia de protocol TLS_FALLBACK_SCSV, care împiedică atacatorii să forțeze un downgrade de protocol.
Atacul rămâne posibil dacă ambele părți (client, server) permit SSL 3.0, dar doar una dintre părți utilizează TLS_FALLBACK_SCSV.
Librăria OpenSSL a adăugat suport pentru TLS_FALLBACK_SCSV în cadrul versiunilor recente, astfel că se recomandă următoarele upgrade-uri:
OpenSSL 1.0.1 – upgrade la 1.0.1j;
OpenSSL 1.0.0 – upgrade la 1.0.0o;
OpenSSL 0.9.8 – upgrade la 0.9.8zc.
b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a? b#%l!^+a?
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea Site Urilor Web (ID: 150428)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.