Study on Cyber -Attacks Evolution [601666]

1

Study on Cyber -Attacks Evolution

Ioan -Cosmin MIHAI
Academia de Poli ție „Alexandru Ioan Cuza”
[anonimizat]

Abstract
Cyber -attacks have known a huge diversification over time. Started with viruses created for
entertainment in the mi ddle of 80s, now there are complex worms used for cybercrime and cyber
espionage. Sophisticated attacks from nowadays can’ t be easily assigned to well -defined types of
traditional attacks because they present characteristic features to computer viruses, tr ojan horses and
worms. This paper presents the cyber -attacks over time, trends in future attacks and a comprehensive
analysis of threats in Romania.

Keywords : cyber -attacks, cybercrime, malware

1. Evoluția atacurilor informatice de -a lungul timpului

Atacurile informatice au cunoscut o diversificare foarte mare de -a lungul timpului. Începând cu
virușii creați pentru amuzament la mijlocul anilor ’8 0, s-a ajuns la realizarea unor viermi complecși
folosiți pentru spionaj industrial. Mai mult decât atât, atacurile sofisticate din zilele noastre nu mai pot fi
încadrate în tipuri bine definite de atacuri, ele prezentă trăsături caracteristice atât virușilor, troienilor sau
viermilor. Cu alte cuvinte aceste malware pot să se automultiplice în rețea (caracteristică comună
viermilor), pot crea breșe în securitatea sistemului informatic pentru a facilita accesul atacatorului
(caracteristică troienilor) și odată instalați în sistemul de operare al victimei, poat e realiza activități de
distrugere (acțiune caracteristică virușilor).
Primul virus a fost virusul Brain, apărut în ianuarie 1986. Au urmat o serie de alți viruși ca de
exemplu Stoned, Cascade sau Form, creați din simplul motiv că anumiți hackeri au vrut să arate că se pot
exploata anumite vulnerabilități. Aceștia se răspândeau de la un calculator la altul prin intermediul
dischetelor .
Data de 2 noiembrie 1988 avea să constituie un moment de cotitură în ceea ce privește poziția
referitoare la asigurarea securității sistemelor informatice. La acea dată, Robert T. Morris, un student: [anonimizat] 60.000 de
calculatoare de pe întreg teritoriul Statelo r Unite. Acest vierme s -a împrăștiat foarte repede la
calculatoarele din facultăților din Cambridge, Massachusetts și Princeton, apoi la Ames Research Center
din Silicon Valey, la Universitatea din Pittsburgh și apoi la alte centre universitare, baze milit are și
institute de cercetare [2]. Viermele se multiplica în rețea de la calculator la calculator, lansând în execuție
o multitudine de procese ce încetineau considerabil sistemul și reduceau spațiul de pe hard disk.
Calculatorul trebuia să rezolve atât de multe procese încât la un moment dat sistemul de operare se bloca.
Viermele exploata o serie de breșe de securitate din sistemul de operare Unix, printre care sendmail și
fingered daemon, colectând date despre utilizatorii calculatoarelor infectate. În ac eeași zi comunitatea
experților în Unix se mobilizează pentru a ține sub control viermele și a -l distruge. Specialiștii de la
CSRG (Computer Systems Research Group ) din Universitatea din Berkley dezvoltă în mai puțin de 12

2
ore un program menit să stopeze î mprăștierea viermelui. În aceeași zi, specialiștii de la Universitatea
Purdue au dezvoltat un program similar. Programele au fost distribuite gratuit și în cele din urmă
viermele a fost stopat.
Deși a fost privit ca ceva apocaliptic, viermele nu a provocat distrugeri de date. Datorită
numeroaselor calculatoare afectate, viermele a primit numele de Giant Worm. Costurile necesare stopării
viermelui și testării sistemelor infectate de acesta a depășit 1.000.000 de dolari [1].
Apariția viermelui lui Morris a sc himbat foarte mult din atitudinea privitoare la securitatea în
Internet. Impactul a fost atât de mare încât s -a creat o industrie dedicată cercetării în domeniul securității
informatice. S -au creat foarte multe organizații gata să ofere asistență în cazul unui eveniment similar.
Una din aceste organizații a fost înființată de DARPA (Defense Advanced Research Projects Agency ) și
purta denumirea de CERT (Computer Emergency Response Team ), de la Institutul de Inginerie Software
al Universității Carnegie Mellon . Aceasta era menită să rezolve situațiile de criză ce puteau apare.
Anii ’90 au fost marcați de vandalism cibernetic. Scopul atacurilor anilor ’90 era vandalizarea
sistemelor informatice sau distracția atacatorilor. Atacurile create erau menite de regulă să altereze
sistemele de operare și să distrugă datele de pe sistemele de stocare.
Virusul Michelangelo, apărut în 1992, avea menirea de a șterge la o anumită dată toate
informațiile de pe computer. Alți viruși ca V -Sign sau Elvira prezentau animații pe d esktop cu scopul de
a prezenta utilizatorului că a fost infectat. Au început să apară instrumente de creare a virușilor, cu
ajutorul cărora puteau fi creați noi viruși. Un astfel de instrument a fost VCL (Virus Creation Labor) ce
permitea utilizatorilor să creeze viruși prin simpla selectare a meniurilor din consolă.
Virusul Flamble poate fi inclus într -o categorie aparte de viruși, ce acționează asupra
echipamentelor hardware. Acest virus creștea frecvența de scanare orizontală a fascicolului de electroni
al monitorului peste limitele admise. Efectul era de distrugere a pixelilor respectivi, în cel mai rău caz
monitorul putând lua foc. Alți viruși din această categorie închid și deschid cu o frecvența mare CD –
ROM -ul, distrugându -l.
În anul 1995 a apărut pri mul virus ce infecta fișierele de tip document, virusul Concept. Acesta a
dat startul virușilor de macro -uri, cei mai răspândiți viruși de până acum, viruși ce se plasează într -unul
sau mai multe macro -uri din cadrul documentelor de tip Microsoft Office și utilizează funcționalitățile
Visual Basic for Applications .
În martie 1999, virusul Melissa reușește să blocheze serviciile de poștă electronică din întreaga
lume. Pagubele sunt estimate la peste 80 de milioane de dolari. Vinovatul a fost găsit în persoan a lui
David Smith, programator ce dăduse virusului numele unei dansatoare. Virusul Melissa a fost primul
virus ce a generat atacuri de tip spam. Melissa a fost un virus de macro, cât și un virus de e -mail. Infecta
în primul rând fișierele de tip text și ap oi atașa într -un mesaj e -mail documentul infectat și îl trimitea
prietenilor din lista de e -mail-uri.
Mulți troieni din anii ’90 erau creați cu scopul de a crea breșe de securitate în sistemul victimă și
a permite atacatorilor accesarea sistemului. Atacato rii, obținând drepturi depline asupra sistemului
infectat, de regulă efectuau operațiuni de ștergere a datelor, de formatare a partițiilor hard disk -ului sau
de ștergere a unor fișiere de sistem care să împiedice pornirea sistemului de operare.
Anumiți tr oieni aveau și o parte de divertisment în panoul de control, atacatorii putând realiza
diverse activități amuzante victimelor, ca de exemplu să preia activitatea mouse -ului, să răstoarne
imaginea prezentată pe ecran , să închidă sesiunea de lucru, să mute s au să închidă ferestrele deschise, să
pornească anumite aplicații, să deschidă /închidă CD -ROM -ul sau să posteze diverse mesaje de eroare
utilizatorilor.
Un astfel de troian ce a făcut ravagii printre sistemele de operare a fost și SubSeven, versiunile
mai avansate având în panoul de administrare opțiunile Fun Manager și Fun Other.
În Fig. 1. este prezentată opțiunea Extra Fun din cadrul modulului Fun Other al troianului
SubSeven. Se observă numeroasele activități de amuzament din partea dreapta a imaginii, ca de exemplu
ascunderea pictogramelor de pe desktop, ascunderea butonului de Start, ascunderea barei de task -uri sau
a ceasului, deschiderea CD -ROM -ului, închiderea monitorului sau pornirea microfonului.

3

Fig. 1. Opțiunea Extra Fun a troianul SubSeven

În anii ’00 scopurile atacurilor s -a schimbat radical. Datorită a tot mai multor tranzacții on -line,
atacatorii au început să creeze malware care să intercepteze datele confidențiale legate de cărțile de credit
pentru a sustrage banii din conturi. Dacă în anii ’90 atacatorii voiau să atragă atenția asupra faptului că
sistemul de operare era infectat, începând cu anii ’00, atacatorii voiau să fie nevăzuți pentru a putea
intercepta datele victimelor. Putem vorbi astfel că anii ’00 au însemnat deceniul infrac ționalității
cibernetice. Majoritatea atacurilor din anii ’00 încearcă să nu -și facă simțită prezența pe sistemele
infectate pentru a putea culege cât mai multe informații de -a lungul timpului.
Datorită dezvoltării puternice a Internet -ului, tot mai multe firme își desfășoară activitatea on –
line, punând la dispoziția publicului diverse servicii. La începutul anilor ’00 atacurile prin refuzul
serviciilor i -au amploare. Atacul prin refuzul serviciilor – DoS (Denial of Service) are ca efect
degradarea calități i funcționării anumitor servicii oferite de un server sau poate duce chiar la dezafectarea
acestora. În cazul unui site prin care se fac sute de tranzacții on -line zilnic, suspendarea acestuia pentru
câteva zile în urma unui atac de tip DoS sau DDoS, poate avea ca efect pierderi însemnate [4].
În luna februarie 2000, activitatea multor site -uri de e -commerce, printre care Yahoo, E -Bay și E –
Trade, a fost puternic afectată acest nou tip de atac de refuz al serviciilor, denumit DDoS. Atacul folosea
tehnologia client –server pentru a concentra atacul asupra anumitor locații. În octombrie 2002 13 servere
au fost afectate de acest atac DDoS, milioane de utilizatori fiind în imposibilitatea de a realiza conexiuni.
În data de 13 iulie 2001 a fost detectat viermele Co de Red ce exploata o vulnerabilitate a
serverului IIS. În numai 14 ore după apariție a reușit să infecteze peste 360.000 de calculatoare. În
ianuarie 2003 viermele Sapphire sau Slammer a infectat peste 75.000 de calculatoare în numai 10
minute. S -a estimat că la acea dată 90% din calculatoare erau vulnerabile la acest vierme.
Încep să apară tot mai multe programe de tip spyware și addware. Programele spyware sunt
programe care captează pe ascuns date de marketing și le folosesc apoi pentru a transmite utili zatorului
reclame corespunzătoare , dar nesolicitate. Prezența programelor spyware pe calculator este de obicei
ascunsă utilizatorului, programul fiind instalat în mod secret. Programele adware sunt programe ce se
instalează în sistemul de operare și transm it reclame. Reclamele sunt afișate ca niște bannere în fereastra
programului sau sunt afișate în ferestre noi de tip pop -up.

4
În anii ’00 au început să apară atacurile prin e -mail de tip phishing. Atacul vizează de regulă
clienții băncilor, ai companiilor ISP sau ai agențiilor guvernamentale pentru sustragerea de date
confidențiale. Fiind foarte ușor de realizat, acest atac capătă amploare, pierderile în rândul utilizatorilor
înșelați fiind foarte mari.
Tot mai multe atacuri vizează furtul de informații. Un ele tipuri de atacuri, ca de exemplu troienii,
au în componență programe keylogger menite de a citi toate datele introduse de la tastatură și a le salva
într-un fișier de tip text. Acest fișier poate fi trimis apoi periodic către adresa de e -mail a atacato rului
pentru ca acesta să identifice datele de acces la conturi de e -mail sau conturi bancare.
Apar programe de tip “rootkit”, malware instalat ca parte a nucleului sistemului de operare și care
nu poate fi detectat de aplicațiile obișnuite de securitate. Aceste programe au de regulă keyloggere în
componența lor pentru a sustrage informații de la tastatură.
Apariția telefoanelor mobile cu sistem de operare propriu face ca atacurile să acopere și acest
segment. Noile tehnologii informatice sunt fie folosite pentru a iniția un atac informatic, fie ținta unui
atac informatic. O parte din tehnologii, sub presiunea pieței, sunt lansate fără a fi suficient testate, din
această cauză prezentând breșe de securitate.
Începutul anilor ’10 repre zintă apariția a noi at acuri în peisajul Internet -ului. Își face apariția
viermele Stuxnet, vierme ce marchează o nouă eră în atacurile informatice, și anume începutul
terorismului cibernetic.
„Cred că am ajuns la un moment de cotitură, deoarece ne confruntăm cu o nouă lume, o n ouă
abordare a infracționalității cibernetice”, spune Eugene Kaspersky, CEO și co -fondator Kaspersky Lab.
„În trecut erau doar infractori cibernetici, acum constat cu teamă că ne apropiem de o eră a terorismului
cibernetic, a armelor sofisticate și a războ aielor cibernetice”, completează acesta.
Într-un discurs susținut în cadrul evenimentului Kaspersky Security Symposium în fața unor
jurnaliști din Munchen, Germania, E. Kaspersky a comparat Stuxnet cu deschiderea Cutiei Pandorei.
„Acest program periculos n u a fost creat pentru a fura bani, a trimite mesaje spam sau a fura date
personale, ci pentru a sabota întreprinderi de producție, pentru a distruge sisteme industriale. Constat că
acesta este începutul unei noi ere. Anii ’90 au fost marcați de vandalism c ibernetic, anii 2000 au
însemnat deceniul infracționalității cibernetice, iar acum ne apropiem de terorism și războaie
cibernetice”, adaugă Kaspersky [9].
Viermele Stuxnet exploatează patru vulnerabilități de tip “zero -day” din sistemul de operare
Microsof Windows. O vulnerabilitate de tip “0 -day” este acea vulnerabilitate necunoscută producătorului
software și pentru care nu există încă un patch de securitate.
Pe lângă exploatarea celor patru vulnerabilit ăți, Stuxnet a folosit și dou ă certificate digitale
valide, furate de la Realtek si JMicron, certificate care i -au ajutat pe infractorii cibernetici s ă ascund ă
prezen ța malware -ului în sistem pentru o perioad ă lungă de timp. Viermele încearc ă accesarea și
reprogramarea de sisteme industriale de control, țintind sistemele de tip SCADA (Supervisory Control
and Data Acquisition) produse de compania Siemens, și anume Simatic WinCC. Acestea sunt utilizate
pentru monitorizarea și administrarea infrastructurii și proceselor de produc ție. Sisteme similare sunt
folosite la scar ă largă pe platformele petroliere, centrale electrice, platforme largi de comunicare, în
aeroporturi, pe vapoare și chiar în armat ă. [2]
Cuno ștințele avansate ale sistemelor industriale de control, atacul sofisticat pe mai multe niveluri,
folos irea vulnerabilit ăților „zero -day” și furtul certificatelor digitale valide de la Realtek si JMicron i-au
determinat pe experții în securitate să constate c ă Stuxnet a fost creat de o echip ă de profesioniști foarte
experimentați, care posed ă resurse vaste și suport financiar. Ținta atacului și locația geografic ă în care a
apărut ( inițial Iran și apoi Israel ), sugerează faptul c ă acesta nu a fost inițiat de un grup oarecare de
infractori cibernetici. În plus, specialiștii care au analizat viermele susțin c ă scopul principal al lui
Stuxnet nu era spionajul sistemelor infectate, ci acela de a iniția o acțiune de sabotaj. Toate aceste indicii
arată că dezvoltarea viermelui Stuxnet a fost susținuta de oficialit ățile unui stat, care dispune de
informații puternic e și valoroase. Stuxnet poate fi prototipul unei arme cibernetice, care va conduce la
crearea de noi instrumente de atac foarte periculoase [5].

5
Deși în 2003 a existat virusul Slammer ce a lovit o instalație nucleara din Ohio și a închis
sistemul de monit orizare iar viermele Conficker a afectat la r ându-i multe instituții cum ar fi unele spitale
(a infectat aparatele RMN), instituții ale legii și organizații militare, viermele Stuxnet marchează
momentul în care cineva a decis s ă atace sistemele SCADA folos ite de regulă în centrale le electrice,
platforme le largi de comunicare, în aeroporturi, pe vapoare și chiar în armat ă.
Anul 2010 poate fi caracteri zat ca fiind „Anul vulnerabilităț ii”, cea mai utilizat ă metoda de
infectare a computerelor, al ături de atacur ile cibernetice lansate prin intermediul website -urilor infectate
și a rețelelor de tip botnet, fiind exploata te breșele de securitate din programe le informatice populare.
Astfel, 2010 a fost caracterizat de o creștere a atacurilor lansate prin rețelele P 2P, un canal de
infectare foarte des folosit, secondata de atacurile prin intermediul browser -elor de Internet. Rețelele P2P
au reușit s ă răspândeasc ă toate tipurile de malware – viruși, troieni, viermi, programe antivirus false etc.
Infractorii cibernetic i au continuat să se implice în activit ăți ilegale folosind metoda „ Drive -By
Download ”. Atacurile „Drive -By Download ” au mai multe componente. Un criminal cibernetic poate
exploata o vulnerabilitate critic ă prin care un site este compromis. Acest a insereaz ă un cod în pagin ă ce
genereaz ă un iframe periculos. În acest mod, se poate încărca un script dintr -o surs ă externă. Acest script
redirecț ioneaz ă toate cererile c ătre un alt script ce ini țializeaz ă o descărcare de fișiere infectate.
Exploatarea sistemului practic este transparent ă. Utilizatorul se va alege cu multe executabile infectate în
sistem în urma vizitei pe site. În aceas tă categorie intr ă și Black -Hat SEO, adic ă folosirea de tehnici mai
puțin legale pentru optimizarea afi șării rezultatelor în motoa rele de căutare – mai ales pentru ca site -urile
infectate s ă apară printre primele în list ă în urma unei c ăutări on -line, utilizarea de bannere și link -uri
care direc ționeaz ă traficul către pagini web cu conținut neadecvat [3].
Anumite inciden te informatice din 2010 pot fi uș or clasificate ca fiind epidemii globale, datorit ă
vitezei de răspândire. Aici sunt menționate botnet -urile Mariposa, TDSS, Koobface, Sinowal si Black
Energy 2.0, toate acestea afectând milioane de computere în întreaga lum e. Tot în 2010 au apărut troieni
bancari cum ar fi Zeus sau SpyEye, folosiți pentru furtul de date confidențiale din sistemele bancare.
Troianul Zeus a devenit unul din cei mai bine vânduți troieni pe piața neagră datorită ușurinței cu care se
configurează și se lansează un atac informatic. [10]
În 2010 infractorii cibernetici au creat și distribuit o treime din toți virușii existenți. În doar 12
luni au creat 34% din totalul de malware care a existat vreodată.

Fig. 2. Tipurile de malware în anul 2010

Troienii clasamentul malware în 2010, circa 56%, urmați de viruși (22%) și viermi (10%).
Interesant că 11,6% din totalul de amenințări din 2010 o reprezintă programele de tip adware, spyware și
rogueware, sau antivirușii falși.

6
2. Tendințele atacurilor în ani i viitori
Anul 2010 a fost plin de surprize neplăcute în ceea ce privește securitatea informatic ă. Peisajul
amenință rilor virtuale a înregistrat activităț i noi și neobi șnuite, precum apariția viermelui Stuxnet. De
asemenea, evenimentele recente legate de s candalul Wikileaks, au declanșat valuri de proteste din partea
anumitor grupuri de utilizatori de Internet, îndreptate asupra instituțiilor care și-au retras susținerea
pentru Wikileaks sau care au blamat public acțiunile acestora.
Valul masiv de atacuri DoS a paralizat rețele le furnizorilor de servicii de Internet, activitatea
sistemelor de procesare a plaților si website -urile agențiilor guvernamentale. Spre deosebire de atacurile
obișnuite de tip DoS, care se bazează pe o serie de calculatoare infectate pentru a lansa ofensiva, noile
atacuri au fost susținute printr -un efort voluntar, coordonat, al milioanelor de utilizatori care și-au expus
de bunăvoie calculatoarele unor persoane necunos cute.
Ani de -a rândul, rețelele botnet au reprezentat un element vi tal al industriei de malware.
Calculatoarele controlate pot fi folosite pentru a trimite mesaje de tip spam, pentru a lansa atacuri de tip
DoS, pentru a găzdui în mod gratuit pagini de phishing sau malware sau pentru a oferi acces prin proxy
pentru fraude cu carduri de credit. Sistarea recentă a serviciului SpamIt a redus considerabil volumul
mesajelor de tip s pam trimise prin intermediul reț elelor botnet, deși nu a afectat infrastructura acestor
rețele în niciun fel.
Pe parcursul următorilor ani este posib il să apară noi programe de afiliere pentru spam, iar cele
existente să se consolideze, astfel că producția de mesaje de acest tip va ajunge la cote mai mari.
Protestele cibernetice sau “hacktivism” -ul sunt ultimul răcnet. Aceasta nou ă mișcare a fost iniț iate
de gruparea “Anonymous”, care a lansat operațiunea “Payback”, țintind în special organizații care
încearc ă să împiedice pirateria pe Internet, și ulterior pentru a își arăta suportul pentru Julian Assange,
redactorul șef al Wikileaks. Internet -ul ocup ă un loc din ce în ce mai important în viețile noastre și este
un canal prin care utilizatorii își pot manifesta în mod anonim și liber, cel puțin pentru moment . Prin
urmare se vor î nregistra tot mai multe exemple ale acestor tipuri de proteste civile.
Pe lângă rețelele convenționale de botnet care folosesc mai multe calculatoare infectate, vor apare
noi amenințări de acest tip create cu consimțământul utilizatorilor. Cel mai probabil, ele vor fi folosite
pentru a lansa atacuri de tip D DoS, ca o formă de p rotest social împotriva instituțiilor care reglementează
folosirea Internet -ului.
Creatorii de malware îș i vor concentra eforturile pentru a obține amenință ri cât mai puțin vizibile
și mai greu de detectat. După succesul înregistrat de familiile de malware semnate cu certificate digitale
furate sau contraf ăcute (precum Stuxnet si diverse variante de ZBot), este foarte probabil s ă apară un
aflux de aplicații malware semnate digital in următorii ani . Deoarece unele soluții de securitate nu
scanează fișierele binare semnate digital, aceast ă abordare permite malware -ului s ă rămână nedetectat.
Anii viitori vor aduce noi oferte pe piața aplicațiilor false, de la utilitare de defragmentare p ână la
diverse aplicații de optimizare a performan ței sistemului. Va crește astfel numărul produselor de tip
rogue.
Rețelele de socializare au devenit un fenomen global: în mai puțin de 6 luni, numărul de conturi
active pe Facebook a sărit de la 400 la 500 de milioane, ceea ce duce la expunerea public ă a unor mari
cantităț i de in formații personale. Infractorii informatici pot corobora informațiile personale ale
utilizatorilor cu cele legate de locul de munca, pentru a lansa campanii de phishing cu victime specifice
si pentru a lansa atacuri persistente către rețelele companiilor, cele din urm ă putând fi folosite pentru
spionaj industrial sau in scopuri ilicite. În următorii ani e posibil să crească numărul aplicațiilor false
pentru rețelele sociale, care vor încerca s ă scoată bani de pe urma utilizatorilor, direc ționându-i către site-
uri infectate sau pă călindu -i să instaleze programe adware .
Accesul în continu ă creștere la HTML 5 ca tehnologie incipient ă va oferi utilizatorilor noi
modalit ăți de interacțiune cu mediile on -line. Deoarece HTML 5 este deja implementat în cele mai
impo rtante browsere, exist ă riscul ca acestea s ă devin ă ținta predilect ă a atacurilor, indiferent de sistemul
de operare pe care rulează browser -ul.

7
În următorii ani amenință rile de tip 0 -day vor juca, de asemenea, un rol important în circuitul
malware. Existe nța unor kit -uri dedicate infectării utilizatorilor precum Eleonore, Crime Pack, Fragus,
Siberia sau Ares, accesibile majorit ății infractorilor informatici, a făcut accesibil ă crearea de malware,
indiferent de nivelul de pregătire în domeniu.
De asemenea apariția troianului Boonana (Java.Trojan.Boonana.A), scris in limbaj Java, care
afectează atât sistemele Mac OS X, c ât si Windows, s -a dovedit a fi un experiment de succes asupra celor
mai populare sisteme de operare ca și de cota de piața. Este foarte pos ibil ca numărul viermilor si
troienilor pentru platforme multiple sa continue s ă crească în viitorii ani [6].
Smartphone -urile și accesul liber la hotspot -urile pentru conexiune Wi -Fi în orașe c âștigă tot mai
repede teren, oferind utilizatorilor acces neli mitat la Internet. „Acest lucru va spori numărul atacurilor de
phishing care exploatează faptul c ă ecranele telefoanelor au dimensiuni reduse și nu afi șează întreg URL –
ul, ceea ce poate fi folosit de atacator pentru a p ăcăli utilizatorii s ă introduc ă infor mații confiden țiale pe
site-uri false, atunci c ând fac cumpăraturi sau operațiuni bancare de pe conexiunea mobil ă” a mai spus
Catali n Cosoi, Head of Online Threats [8].
Popularitatea sistemului de operare Android pentru telefoane mobile si disponibilitatea în mod
gratuit a kit -urilor pentru dezvoltarea aplicațiilor vor simplifica eforturile creatorilor de malware de a
scrie aplicații malware, atât pentru telefoane, c ât și pentru tablete care au la baza sistemul Android.
Viorel Canja, Head of Antimalware Lab , BitDefender , precizează că „deja exist ă malware care
vizează sistemul Android, precum aplicații media -player care sun ă la numere cu supratax ă sau recentul
troian „Geinimi”, care fur ă date confidențiale și contacte. Deoarece sistemul de operare Android es te
unul de open -source și oferă o flexibilitate sporit ă în dezvoltarea și instalarea aplicațiilor, ceea ce
înseamn ă că nu va dura mult p ână când creatorii de malware vor începe diseminarea diverșilor bo ți
pentru preluarea controlului asupra telefoan elor in fectate”.

3. Analiza amenințărilor informatice în România
Amenințările informatice din România respectă trendul atacurilor informatice din lume. Totuși,
datorită faptului că un procent destul de ridicat din populație folosește produse software contrafăcute,
multe vulnerabilități existente în cadrul acestora nu pot fi remediate în timp util, sporind astfel riscul
infectării sistemului. Conform unui sondaj realizat de Microsoft România, în 26% din marile lanțuri de
retail, angajații vând calculatoare cu sisteme de operare contrafăcute și 50% din sistemele de operare
Windows vândute în România sunt piratate. Mai mult de atât, două din trei firme românești utilizează
sisteme de operare Windows piratate, iar rata este mult mai mare în rândul persoanelor fizice.
Astfel, infractorii cibernetici pot profita o perioadă mai îndelungată de vulnerabilitățile existente
în produsele contrafăcute, unele dintre acestea fiind din start infectate.
În anul 2011, în România, funcția Autorun reprezintă vulnerabilitatea numărul unu din peisajul
amenin țărilor informatic . Profitând de această vulnerabilitate, trei tipuri de atacuri se află in topul
amenințărilor informatice, conform unui studiu realizat de Bitdefender la începutul anului 2011.
Conform analizei realizate de BitDefende r la începutul anului 2011, clasamentul celor mai mari
importante amenințări informatice din România este următorul:
1. Win32.Worm.Downadup.Gen 10.24%
2. Trojan.AutorunINF.Gen 7.64%
3. Trojan.Autorun.AET 4.59%
4. Win32.Sality.OG 4.48%
5. Trojan.Crack.I 3.55%
6. Win32.Worm.DownadupJob.A 3.47%
7. Win32.Sality.3 2.64%
8. Gen:Variant.Kazy.9625 2.15%
9. Gen:Variant.Adware.Hotbar.1 1.64%
10. Worm.Autorun.VHG 1.50%
11. Alte amenințări 58.10%

8

Fig. 3. Topul amenințărilor informatice din România, 2011

Peisajul malw are din România este dominat de mai bine de un an de viermele
Win32.Worm.Downadup.Gen, cunoscut drept Conficker. “Conficker este unul dintre cele mai răspândite
tipuri de malware din ultimii ani, ce a suferit numeroase mutații și a luat forme variate. Pote nțialul s ău
distructiv variază de la exploatarea parolelor slabe, p ână la blocarea accesului la site -urile furnizorilor de
securitate” a declarat Catalin Cosoi, Head of Onli ne Threat Labs la BitDefender. Totodată , scăderea în
popularitate a platformei Wind ows XP, precum și un comportament on -line mai responsabil, au dus la
reducerea semnificativ ă a numărului de infecții cu Conficker.
Win32.Worm.Downadup.Gen se afl ă in fruntea clasamentului acumulând peste 10 de procente
din totalul infecțiilor înregistrate în România. Varianta sa mai puțin populara însă aproape la fel de
constant ă, Win32.Worm.DownadupJob.A, se reg ăsește pe locul sase cu aproape 4 procente, ceea ce face
ca împreun ă să totalizeze aproximativ 15 de procente din întregul tabloul al distribuției malware din
România. Acești viermi blochează accesul sistemului infectat la site -urile producătorilor de soluții de
securitate, împiedicând astfel obținerea de actualizări ale produselor sau solicitarea serviciilor de
asisten ță tehnic ă. Printre altele, un ele variante mai recente ale acestei amenin țări instalează și antiviruși
falși pe sistemele compromise [7].
Daca familia Downadup are aproximativ 15 procente din totalul infecțiilor din România, clanul
Autorun nu se lasă mai prejos fiind reprezentat de nu mai puțin de trei membri dintre care doi numai în
primele trei locuri. Astfel, pe poziția a doua a clasamentului se afl ă Trojan.AutorunINF.Gen ( 7.64%),
urmat îndeaproape de pe trei de Trojan.Autorun.AET (4. 59%) și de Worm.Autorun.VHG (1.5 0%).
Aceștia răspâ ndesc malware prin intermediul dispozitivelor de stocare periferice și înlesnesc atacul altor
amenin țări informatice care folosesc funcția Autorun pentru a se propaga.
Trioul familiilor malware este completat de singurii reprezentanții ai categoriei vi rus:
Win32.Sality.OG (4.4 8%) și Win32.Sality.3 (2. 64%) se mențin pe locurile 4 si 7. Acești infectori
polimorfici își anexează codul criptat la fișierele executabile de tip .exe sau .scr. Pentru a -și masca
prezen ța în sistem, instalează un rootkit și încearcă să compromit ă aplicațiile antimalware instalate pe
calculatorul infectat.
O altă amenințare vine din partea troianului Trojan.Crack.I. Acest tip de malware instalează un
troian care colectează informații importante despre aplicațiile care rulează pe calcul atorul compromis și
instalează un element backdoor care permite preluarea controlului de la distan ță asupra sistemului
infectat. Ocuparea unui loc important în clasamentul din România de către aceast ă amenințare scoate în

9
eviden ță faptul c ă problema pirate riei afectează din ce în ce mai mult peisajul global al aplicațiilor
software.
Alți reprezentanț i ai malware -ului specific românesc sunt viermii informatici
Gen:Variant.Kazy.6906 (locul 8, cu 2,15% din infecții) și Gen:Variant.Kazy.8043 (locul 9, cu 1. 64% din
infecții). Acești viermi se propaga prin dispozitivele de stocare USB, mai precis prin functia Autorun.inf
a acestora.
Datorită folosirii de software piratat, foarte mulți administratori de website -uri infectează fără să
știe site -ul administrat. Infec tarea unui site poate avea implicații grave asupra serverului de găzduire
unde este plasat site -ul. În condițiile unei securități precare, infecția din cadrul site -ului se poate răspândi
la toate site -urile găzduite pe serverul respectiv, care pot fi în nu măr de zeci sau chiar sute, și apoi către
toți utilizatorii ce vizitează respectivele site -uri.
Conform unui sondaj realizat de site -ul www.criminalitatea -informatica.ro , un număr de 268 de
utilizatori au răspuns întrebării „Domeniul .ro este un domeniu si gur?” astfel:
– foarte sigur: 7%;
– este sigur: 24%;
– prezintă riscuri: 52%;
– foarte nesigur: 17%.
Interesant că peste jumătate din cei ce au răspuns, un procent de 52%, au afirmat că domeniul .ro
este un domeniu nesigur, ceea ce implică faptul că navigarea pe s ite-urile românești implică riscuri de
infecție.
Totuși, deși sunt folosite programe piratate și multe din site -urile de pe domeniul .ro prezintă
riscuri, calculatoarele utilizatorilor români nu prezintă infecții majore. Conform unei analize făcute de
Pand a Security privind răspândirea sistemelor infectate în 2010, România nu se găsește în primele 20 țări
cu cele mai multe calculatoare infectate.
Conform acestor studiu, țările cu cele mai infectate sisteme informatice sunt China, Ucraina,
Tailanda și Taiwan cu o rată de infecție de peste 50%.

Fig. 4. Rata de infecție a sistemelor informatice pe țări

Un alt studiu realizat de Kaspersky în 2010, privind țările ce găzduiesc cele mai multe servere de
malware la nivel național, arată că România nu se regăsește în primele 20 de țări, primele 3 fiind SUA,
Rusia și China.

10

Tabel 1. Țările ce găzduiesc cele mai multe servere de malware
Nr. crt. Numele țării Numărul serverelor de
malware
1. SUA 28.99%
2. Rusia 16.06%
3. China 13.64%
4. Germania 5.89%
5. Olanda 5.49%
6. Spania 5.28%
7. Marea Britanie 4.62%
8. Suedia 4.34%
9. Ucraina 2.76%
10. Letonia 2.02%
11. Canada 1.63%
12. Franța 1.49%
13. Turcia 0.63%
14. Moldova 0.55%
15. Cehia 0.40%
16. Hong Kong 0.40%
17. Thailanda 0.38%
18. Filipine 0.37%
19. Malaysia 0.37%
20. Vietnam 0.36%
Alte țări 4.33%

De aici rezultă că în România se iau totuși destul de în serios amenințările informatice iar
utilizatorii sunt interesați de instalarea sistemelor de securitate pe propriile calculatoare. Există și un
număr mare de site -uri ce prezintă informații uti le în securizarea sistemului informatic, unul dintre
acestea fiind portalul www.securitatea -informatiilor.ro. Aceste lucruri ajută foarte mult în stoparea
răspândirii atacurilor informatice.

BIBLIOGRAFIE

[1] D. Acostachioaie, Securitatea sistemelor Linux , Editura Poli rom.
[2] R.J. Hontanon, Securitatea rețelelor , Editura Teora, 2003 .
[3] S. McClure, J. Scambray, G. Kurtz, Securitatea rețelelor , Editura Teora, 2002 .
[4] D. Oprea, Protecția și securitatea informațiilor . Ed. II , Editura Polirom, 2007.
[5] S. Popa, Securitatea s istemelor informatice – note de curs și aplicații , Editura Alma Mater Bacău,
2007 .
[6] V.V. Pa triciu, Monica Ene -Pietrosanu, I. Bic ă, Semnături electronice și securitate informatică ,
Editura All, 2006.
[7] A. Sarcinschi, Vulnerabilitate, risc, amenințare. Securita tea ca reprezentare psihosocială , Editura
Militară, 2009 .
[8] Primul troian detectat pe telefoanele cu sistem de operare Android. [Online] Available:
http://www.securitatea -informatiilor.ro/tipuri -de-atacuri -informatice/primul -troian -detectat -pe-
telefoanele -cu-sistem -de-operare -android/ www.criminalitatea -informatica.ro .
[9] Stuxnet, un atac cibernetic foarte sofisticat și unic în lume . [Online] Available:
http://www.criminalitatea -informatica.ro/tipuri -de-atacuri -informatice/stuxnet -un-atac-cibernetic –
foarte -sofis ticat-si-unic-in-lume/ .
[10] Tipuri de atacuri informatice. [Online] Available: http://www.criminalitatea -informatica.ro/tipuri –
de-atacuri -informatice/ .