Despre virusi si tipurile lor

Modulul 2 Atacuri asupra calculatoarelor izolate i conectate n reea

27

ATACURI ASUPRA CALCULATOARELOR IZOLATE I CONECTATE N REEA

2.1. Viruii calculatoarelor

Termenul de virus de calculator a fost introdus, n anul 1972, de ctre Fred Cohen, pe baza analogiei cu termenul de virus biologic. Virus este termenul latin pentru otrav. Un virus de calculator este un program (cu lungimea cuprins ntre 200 i 4000 de octei) care i copiaz propriul cod n unul sau mai multe programe "gazd" mai mari, atunci cnd este activat. Cnd se execut aceste programe, se execut i virusul, continundu-se rspndirea sa. Dup cum s-a artat, viruii fac parte dintr-o categorie de programe care ncearc s ascund funcia pe care o au de ndeplinit (malicious programs). Din aceast categorie mai fac parte i programe de tipul Trojan horses (care sub pretextul realizrii unei alte funcii reuesc s ajung n memoria calculatorului, de exemplu un astfel de program poate realiza "infiltrarea" unui virus n memoria unui calculator), programe de tip "vierme" care au capacitatea de a trece de pe un sistem de calcul pe un altul i se execut independent de excuia altor programe ("gazd"), programe de tip "bacterie", care se reproduc pn absorb ntreaga capacitate de memorie a sistemului pe care au fost instalate i programe de tipul "bomb" care se decleaneaz doar atunci cnd se ndeplinesc anumite condiii (de exemplu se ajunge ntr-o zi de vineri la data de 13). n prezent se cunoate un numr foarte mare de virui de calculator. De exemplu n anul 2002 putea fi procurat de pe Internet o list a acestora, ordonai alfabetic. De exemplu la litera R puteau fi gsii urmtorii virui:

Raadioga, Rabbit (First), Radiosys, Rage, Rainbow (Ginger), Ramen, Ramen.A (Ramen), Ramen.B (Ramen), Rape, Rape-10 (Rape), Rape-11 (Rape), Rape-2.2 (Rape), Rapi, Rasek, Raubkopie, Ravage (Dodgy), Ravage (MMIR), Ray (Joke Program), Razer, RC5, RC5 Client (RC5), RD Euthanasia (Hare), Readiosys (Radiosys), Reboot, Reboot Patcher (Lomza), Red Diavolyata, Red Diavolyata-662 (Red Diavolyata), Red Spider (Reverse), Red worm (Adore), Red-Zar (Torn), Redspide (Reverse), Redstar (Karin), RedTeam, RedX (Ambulance), Reggie

Subiecte 2.1. Viruii calculatoarelor 2.2. Atacuri asupra calculatoarelor conectate n reea 2.2.1. Viermii informatici 2.3. Necesiti de securitate n reelele de calculatoare 2.3.1. Cazul LAN

Evaluare: 1. Rspunsuri la ntrebrile i problemele finale 2. Discuie pe tema: Atacuri asupra calculatoarelor izolate i a reelelor de calculatoare


28

(Secshift), Reiz, Reizfaktor (Reiz), Reklama, Relzfu, RemExp, Remote_Explorer (RemExp), Rendra, Rendra.A (Rendra), REQ! (W-13), Requires, Rescue, Reset (Omega), Resume, Resume.A@mm (Resume), Resume.A (Resume), ResumeWorm (Resume), Resurrect (Siskin), Reveal, Revenge, Reverse, Reverse.B (Reverse), Rex, Rhubarb (RP), Richard Keil, RICHS (RemExp), Rich (RemExp), Riihi, Ring0 (RingZero), RingZero, Ripper, RITT.6917, RM, RMA-Hammerhead, RMA-hh (RMA-Hammerhead), RNA2, Roach.b (Nymph), Roach(Nymph), Robocop, Robocop.A (Robocop), Robocop.B (Robocop), Rock Steady (Diamond), Rogue, Roma, Romeo-and-Juliet (BleBla), Romeo (BleBla), Romer_Juliet, Rosen (Pixel), RP, RPS, RPS.A (RPS), RPS.B (RPS), RPS.C (RPS), RPVS (TUQ), RraA, rrAa (RRaA), RSY, Russian Mirror, Russian Mutant, Russian New Year, Russian Tiny, Russian Virus 666, Russian_Flag, Russ (Joke.Win32.Russ), Rust, Rut, Rut.A (Rut), RV, RV.A (RV), Ryazan, Rybka (Vacsina). O poriune dintr-o list mai recent poate fi vzut n figura urmtoare. Comparnd lista i poriunea sa prezentat n figur se poate constata evoluia produs n generarea de virui.

Fig. 2.1. O list de virui printre care se gsete i unul produs n ara noastr.

De obicei un virus de calculator are pe lng funcia de reproducere nc o funcie distinct, cea de distrugere.

O clasificare posibil a viruilor se bazeaz pe tipurile de fiiere pe care le pot infecta. Conform acestei clasificri exist virui care infecteaz fiiere ordinare de tipul .com sau .exe i virui care infecteaz fiierele sistem. Dintre fierele sistem cel mai des atacate sunt cele de boot (de pornire a sistemului). Viruii care produc astfel de atacuri se numesc virui de boot. Exist i virui capabili s infecteze ambele categorii de fiiere (ca de exemplu virusul Tequila). Viruii care afecteaz fiierele ordinare pot fi cu aciune direct (ca de exemplu virusul Viena) sau rezideni (ca de exemplu virusul Jerusalim). Viruii


29

rezideni, la prima execuie a unui program pe care l-au contaminat deja, l prsesc, se ascund n memorie i se declaneaz doar atunci cnd sunt ndeplinite anumite condiii.

O alt clasificare posibil a viruilor se bazeaz pe modul n care

acetia se ataeaz la programele pe care le infecteaz. Conform acestei clasificri exist virui de tip "shell", virui de tip "add-on" i virui de tip "intrusiv".

Viruii de tip "shell" Formeaz un nveli ("shell") n jurul programului "gazd". Virusul devine program principal iar programul "gazd" devine o subrutin a virusului. Prima dat se execut virusul i apoi programul "gazd". Majoritatea viruilor de "boot" sunt de tip "shell". Viruii de tip "add-on" Se adaug la nceputul sau la sfritul codului programului "gazd". Apoi este alterat informaia de start a programului "gazd" i se ruleaz pe rnd virusul i apoi programul "gazd". Programul gazd este lsat aproape neatins. Acest tip de virui poate fi uor detectat dac se compar dimensiunile fiierului corespunztor programului gazd, nainte i dup o rulare a acestuia. Viruii de tip "intrusiv" Distrug o parte a codului asociat programului "gazd" i nscriu n acea zon codul propriu. Ulterior programul "gazd" nu mai poate funciona. n continuare se prezint i alte categorii de virui Virui de tip STEALTH Modific fiierele n funcie de rezultatul monitorizrii funciilor sistemului folosite de programe pentru a citi fiiere sau blocuri fizice de pe mediile de nregistrare, pentru a falsifica rezultatele acestor funcii astfel nct programele care ncearc s citeasc aceste zone s vad formele iniiale neafectate de virus n locul formelor reale, actuale, infectate. n acest fel modificrile efectuate de virus rmn neafectate de programele anti-virus. Virui polimorfi Produc copii neidentice (dar operante) ale variantei iniiale n sperana c programul anti-virus nu le va putea detecta pe toate. O modalitate de realizare a diferitelor copii este autocriptarea cu cheie variabil a variantei iniiale. Un exemplu este virusul Whale. O alt modalitate de realizare a copiilor multiple se bazeaz pe modificarea secvenei de instrucii, pentru fiecare copie, prin includerea unor instrucii care funcioneaz ca i zgomot (de exemplu instrucia No operation sau instrucii de ncrcare a unor regitrii nefolosii cu valori arbitrare). Un exemplu este virusul V2P6.


30

Virui rapizi Un virus obinuit se autocopiaz n memorie cnd un program "gazd" se executi apoi infecteaz alte programe cnd se declaneaz execuia acestora. Un virus rapid nu infecteaz, atunci cnd este activ n memorie, doar programele care se excut ci i pe cele care sunt doar deschise. n acest mod se infecteaz mai multe programe deodat. Exemple de astfel de virui sunt Dark Avenger i Frodo. Virui leni Sunt virui care n faza n care sunt activi n memorie infecteaz fiierele doar n momentul n care li se aduc modificri sau atunci cnd sunt create. Un exemplu de astfel de virus este cel numit Darth Vader. Virui mprtiai Infecteaz doar ocazional, de exemplu tot al 10-lea program executat sau doar fiierele care au o lungime bine precizat. n acest mod se ncearc ngreunarea detectrii lor. Virui nsoitori n loc s modifice un fiier existent creaz un nou program a crui execuie este declanat de ctre interpretorul liniei de comand i nu de programul apelat. La sfrit se ruleaz i programul apelat n aa fel nct funcionarea calculatorului s par normal utilizatorului.

Funcionarea viruilor, dup ce acetia au ajuns n memoria calculatorului, se bazeaz pe alterarea ntreruperilor standard utilizate de sistemul de operare i de BIOS (Basic Input/Output System). Aceste modificri se realizeaz astfel nct virusul s fie apelat de alte aplicaii cnd acestea sunt activate. PC-urile utilizeaz numeroase ntreruperi (att hard ct i soft) pentru a coopera cu evenimente asincrone. Toate serviciile DOS-ului i BIOS-ului sunt apelate de utilizator prin parametri stocai n regitri, cauznd ntreruperi soft. Cnd se solicit o ntrerupere, sistemul de operare apeleaz rutina a crei adres o gsete n tabelul de ntreruperi. n mod normal acest tabel conine pointer-i spre regiuni din ROM sau spre regiuni rezidente n memorie din DOS. Un virus poate modifica tabelul de ntreruperi astfel nct execuia unei ntreruperi s genereze rularea sa. Un virus tipic intercepteaz ntreruperea specific DOS-ului i permite rularea sa nainte de rularea serviciului DOS cerut curent. Dup ce un virus a infectat un anumit program el ncearc s se mprtie i n alte programe sau eventual n alte sisteme. Majoritatea viruilor ateapt ndeplinirea unor condiii favorabile i apoi i continu activiatatea.

n continuare se descrie infectarea secvenei de ncrcare (boot)

a sistemului de operare. Aceast secven are 6 componente: a) Rutinele ROM BIOS;


31

b) Executarea codului din tabela partiiilor; c) Executarea codului din sectorul de boot; d) Executarea codului IO.SYS i MSDOS.SYS; e) Executarea comenzilor Shell din COMMAND.COM; f) Executarea fiierului batch AUTOEXEC.BAT

a) La boot-are calculatorul execut un set de instrucii din ROM. Acestea iniializeaz hard-ul calculatorului i furnizeaz un set de rutine de intrare-ieire de baz, BIOS-ul. Rutinele din ROM nu pot fi infectate (deoarece n aceast memorie nu se poate scrie).

b) Orice hard-disk poate fi mprit n mai multe regiuni, numite partiii, C,D,E,. Dimensiunea fiecrei partiii, obinute astfel, este memorat n tabela partiiilor. n aceast tabel exist i un program, de 446 de octei, care specific pe care partiie se afl blocul de boot. Acest program poate fi infectat de un virus. Acesta poate, de exemplu (este cazul virusului New Zealand), s mute tabela partiiilor la o nou locaie de pe hard-disk i s controleze ntreg sectorul din care face parte acea locaie.

c) Programul din tabela partiiilor localizeaz blocul de boot. Acesta conine blocul parametrilor BIOS-ului. (BPB), care conine informaii detailate despre organizarea sistemului de operare precum i un program, de mai puin de 460 de octei, de localizare a fiierului IO.SYS. Acest fiier conine stadiul urmtor din secvena de boot-are. Evident i acest program poate fi atacat, aa cum se ntmpl n prezea virusului Alameda. Principalul atu al acestor virui de boot este faptul c ei ajung s controleze ntregul sistem de calcul nainte ca orice program de protecie (anti-virus) s poat fi activat.

d) Blocul de boot declaneaz ncrcarea fiierului IO.SYS, care produce iniializarea sistemului, dup care se ncarc DOS-ul, coninut n fiierul MSDOS.SYS. i aceste dou fiiere pot fi infectate de virui.

e) Programul MSDOS.SYS declaneaz apoi execuia interpretorului de comenzi COMMAND.COM. Acest program furnizeaz interfaa cu utilizatorul, fcnd posibil execuia comenzilor primite de la tastatur. E clar c i acest program poate fi infectat aa cum se ntmpl n prezena virusului Lehigh.

f) Programul COMMAND.COM execut o list de comenzi memorate n fiierul AUTOEXEC.BAT Acesta este un simplu fiier text ce conine comenzi ce vor fi executate de interpretor. La execuia acestui fiier un virus poate fi inclus n structura sa.

n continuare se prezint modaliti de infectare a unui program utilizator. Este vorba despre programe de tipul .COM sau .EXE. Programele de tipul .COM conin la nceput o instruciune de tipul jump la o anumit adres. Viruii pot nlocui aceast adres cu adresa lor.


32

Dup execuia virusului se efectueaz jump-ul la adresa specificat la nceputul programului .COM infectat i se ruleazi acest program.

Cei mai periculoi virui folosesc o varietate de tehnici de rmnere n memorie, dup ce au fost executai prima oar i dup ce s-a executat pentru prima oar, primul program "gazd". Toi viruii de boot cunoscui sunt astfel de virui. Dintre acetia pot fi menionai viruii: Israeli, Cascade sau Traceback. Aceast proprietate a viruilor rezideni n memorie este datorat faptului c ei afecteaz ntreruperile standard folosite de programele DOS i BIOS. De aceea aceti virui sunt apelai, involuntar, de ctre orice aplicaie care solicit servicii de la sistemul de operare. De fapt, aa cum s-a artat deja, n paragraful "Moduri de acionare a viruilor", viruii modific tabela de ntreruperi, astfel nct la fiecare ntrerupere s fie executat i programul virus. Deturnnd ntreruperea de tastatur, un virus poate intercepta comanda de reboot-are soft CTRL-ALT-DELETE, poate modifica semnificaia tastelor apsate sau poate face s fie invocat la fiecare apsare de tast. La fel pot fi deturnate i ntreruperile de BIOS sau de DOS.

Cele mai importante manifestri ale unui calculator care indic

prezena unui virus sunt: modificrile n dimensiunile fiierelor sau n coninutul acestora, modificarea vectorilor de ntrerupere, sau realocarea altor resurse ale sistemului. Din pcate aceste manifestri sunt sesizate cu dificultate de un utilizator obinuit. O indicaie referitoare la memoria sistemului poate fi obinut folosind utilitarul CHKDSK. Nu este necesar cunoaterea semnificaiei fiecrei cifre afiate de ctre acest utilitar ca i rezultat al rulrii sale, e suficient s se verifice dac aceste valori s-au modificat substanial de la boot-are la boot-are. Printre aceste cifre exist una care reprezint capacitatea memoriei disponobile pe calculatorul respectiv. Dac aceasta s-a modificat cu mai mult de 2 kilo-octei atunci este foarte posibil ca pe acel calculator s se fi instalat un virus de boot. Oricum cel mai bine este ca pe fiecare calculator s fie instalat un program anti-virus. Din nefericire aceste programe nu recunosc dect viruii deja cunoscui de ctre productorii lor. De aceea ele trebuie schimbate frecvent, cutndu-se n permanen variantele cele mai noi. Trebuie inut seama i de faptul c productori diferii de programe antivirus folosesc denumiri diferite pentru acelai virus. Fred Cohen a demonstrat urmtoarea propoziie:

Orice detector de virui se poate nela, furniznd alarme false

(atunci cnd clasific un fiier sntos ca fiind infectat) sau nedectnd unii virui sau fcnd ambele tipuri de erori. n consecin exist situaii n care utilizarea unui astfel de sistem nu poate conduce la luarea unei decizii corecte. De aceea este recomandabil ca nainte de a lua o decizie s se utilizeze dou sau mai multe programe anti-virus. n acest caz ns exist riscul ca modificrile fcute asupra fiierelor de ctre unul dintre ele s fie interpretate de ctre cellalt ca i posibili virui. Un alt pericol este ca nsui programul anti-virus s fie infectat. De aceea este bine ca aceste programe s fie


33

procurate din surse verificate i ca rezultatele lor s fie considerate doar dac ele au fost rulate de pe sisteme neinfectate. Exist ns din pcate i posibilitatea ca s apar rapoarte conform crora programul anti-virus este el nsui infectat dei n realitate nu este aa.

Nu exist o cea mai bun strategie mpotriva viruilor. Nici un program antivirus nu poate asigura o protecie total mpotriva viruilor. Se pot ns stabili strategii anti-virus bazate pe mai multe nivele de aprare. Exist trei tipuri principale de programe anti-virus, precum i alte mijloace de protecie (ca de exemplu metodele hard de protecie la scriere). Cele trei tipuri principale de programe anti-virus sunt:

1) Programele de monitorizare. Acestea ncearc s previn activitatea viruilor. De exemplu programele: SECURE sau FluShot+. 2) Programele de scanare. Caut iruri de date specifice pentru fiecare dintre viruii cunoscui dar care s nu poat aprea n programele sntoase. Unele dintre aceste programe anti-virus folosesc tehnici euristice pentru a recunoate viruii. Un program de scanare poate fi conceput pentru a verifica suporturi de informaie specificate (hard-disk, dischet, CD-ROM) sau poate fi rezident, examinnd fiecare program care urmeaz s fie executat. Majoritatea programelor de scanare conin i subrutine de ndeprtare a unui virus dup ce acesta a fost detectat. Cteva exemple de astfel de programe sunt: FindViru, din cadrul programului Dr Solomon's Anti-Virus Toolkit, programul FPROT al firmei FRISK sau programul VIRUSCAN conceput la firma McAfee. Dintre programele de scanare rezidente pot fi amintite programele V-Shield sau VIRUSTOP realizate la firma McAfee. Dintre programele de scanare euristic poate fi menionat programul F-PROT. 3) Programe de verificare a integritii sau de detectare a modificrilor. Acestea calculeaz o mic sum de control sau valoare de funcie hash (de obicei pe baz de criptare) pentru fiecare fiier, presupus neinfectat. Ulterior compar valorile nou calculate ale acestor mrimi cu valorile iniiale pentru a vedea dac aceste fiiere au fost modificate. n acest mod pot fi detectai virui noi sau vechi, efectundu-se o detecie "generic". Dar modificrile pot aprea i din alte motive dect activitatea viruilor. De obicei este sarcina utilizatorului s decid dac o anumit modificare a aprut ca urmare a unei operaii normale sau ca urmare a unei activiti virale. Exist ns programe anti-virus care pot s-l ajute pe utilizator s ia aceast decizie. La fel ca i n cazul programelor de scanare i programelor de verificare a sumelor de control li se poate cere s verifice ntregul hard-disk sau doar anumite fiiere sau ele pot fi rezidente verificnd fiecare program care urmeaz s fie executat. De exemplu Fred Cohen ASP Integrity Toolkit, Integrity Master sau VDS sunt programe anti-virus de acest tip. 3a) Antivirusul GENERIC DISINFECTION face parte dintr-o categorie puin mai aparte. El face ca s fie salvat suficient informaie pentru fiecare fiier, astfel nct acesta s poat fi reconstruit n forma sa


34

original n cazul n care a fost detectat activitate viral, pentru un numr foarte mare de virui. Acest program anti-virus face parte din nucleul de securitate V-Analyst 3, realizat de firma izraelian BRM Technologies.

n scopul elaborrii unei politici de securitate anti-virus este bine ca metodele de aprare mpotriva viruilor s fie utilizate pe rnd pentru a se crete securitatea sistemului de calcul folosit.

Un calculator PC ar trebui s includ un sistem de protecie al

tabelei de partiie a hard-disk-ului, pentru a fi protejat de infectarea la boot-are. Acesta ar trebui s fie de tip hard sau de tip soft dar localizat n BIOS. i sisteme soft de tipul DiskSecure sau PanSoft Imunise sunt destul de bune. Acest sistem de protecie ar trebui s fie urmat de detectoare de virui rezidente care s fie ncrcate ca i pri ale programelor de pornire ale calculatorului, CONFIG.SYS sau AUTOEXEC.BAT, cum sunt de exemplu programele FluShot+ i/sau VirStop mpreun cu ScanBoot. Un program de scanare cum ar fi F-Prot sau McAfee's SCAN poate fi pus n AUTOEXEC.BAT pentru a verifica prezena viruilor la pornirea calculatorului. Noile fiiere ar trebui scanate pe msur ce ele sosesc n calculator. Este indicat s se foloseasc comanda PASSWORD din DRDOS pentru a se proteja la scriere toate executabilele de sistem precum i utilitarele. Pe lng metodele de protecie anti-virus deja amintite mai pot fi folosite i urmtoarele:

(a) Crearea unei liste de partiii a hard-disk-ului special astfel nct acesta s fie inaccesibil cnd se boot-eaz de pe o dischet. Aceast msur este util deoarece la boot-area de pe dischet sunt evitate proteciile hard-disk-ului din CONFIG.SYS i din AUTOEXEC.BAT. O astfel de list poate fi realizat de programul GUARD.

(b) Utilizarea Inteligenei Artificiale pentru a nva despre

virui noi, i pentru a extrage noi caracteristici utile pentru scanare. Astfel de demersuri sunt fcute n cadrul programului V-Care (CSA Interprint Israel; distribuit n S.U.A. de ctre Sela Consultants Corp.).

(c) Criptarea fiierelor (cu decriptare nainte de execuie).

Ce se nelege prin virus informatic ? Cte categorii de virui informatici exist ? Numii-le. Care este structura unui program antivirus ? Detaliai componentele unei politici de securitate antivirus.


35

2.2. Atacuri asupra calculatoarelor conectate n reea

Orice reea este realizat conectnd mai multe calculatoare. Pentru a proteja reeaua trebuie s protejm fiecare calculator. Fa de mijloacele de protecie amintite n primul capitol care se refer la protecia calculatoarelor izolate (neconectate n reea) n cazul reelelor trebuie luate msuri suplimentare datorate comunicrii dintre calculatoare. De aceast dat operaiile de identificare i autentificare sunt mai complexe innd seama de faptul c acum numrul persoanelor care pot avea acces la datele comune poate fi mult mai mare. De asemenea lupta mpotriva viruilor este mai grea, deoarece oricare dintre calculatoarele reelei poate fi atacat pentru a fi infectat. n plus exist noi tipuri de atac specific pentru reele. Deoarece scopul reelelor este de a asigura comunicarea ntre calculatoare, tocmai aceast funciune poate fi periclitat prin atacuri din exterior. Astfel de atacuri pot s introduc un program ntr-unul dintre calculatoarele reelei, care s se autoreproduc i s se autotransfere pe celelalte calculatoare att de mult nct s satureze traficul prin reea. Chiar mai mult, un astfel de program poate doar s simuleze creterea i mobilitatea sa, "infectnd" doar dispozitivele responsabile cu controlul traficului prin reea. n acest mod transferul de informaie dintre calculatoarele reelei este mpiedicat fr ca s existe motive reale pentru asta.

Exist dou categorii mari de atacuri asupra reelelor: active i pasive.

n cazul atacurilor pasive intrusul n reea observ doar traficul de informaie prin reea, fr a nelege sau modifica aceast informaie. El face deci doar analiza traficului, prin citirea identitii prilor care comunic i prin nvarea lungimii i frecvenei mesajelor vehiculate pe un anumit canal logic, chiar dac coninutul acestora este neinteligibil. Caracteristicile atacurilor pasive sunt:

- Nu cauzeaz pagube, - Pot fi realizate pritr-o varietate de metode, cum ar fi supravegherea legturilor telefonice sau radio, exploatarea radiailor electromagnetice emise, dirijarea datelor prin noduri adiionale mai puin protejate. n cazul atacurilor active intrusul fur mesaje sau le modific

sau emite mesaje false. El poate terge sau ntrzia mesaje, poate schimba ordinea mesajelor. Exist urmtoarele tipuri de atacuri pasive:

- Mascarada: o entitate pretinde c este o alta. De obicei mascarada este nsoit de nlocuirea sau modificarea mesajelor; - Reluarea: Un mesaj sau o parte a sa sunt repetate. De exemplu este posibil reutilizarea informaiei de autentificare a unui mesaj anterior. - Modificarea mesajelor: alterarea datelor prin nlocuire, inserare sau tergere.


36

- Refuzul serviciului: O entitate nu reuete s-i ndeplineasc propria funcie sau efectueaz aciuni care mpiedic o alt entitate s-i efectueze propria funcie. - Repudierea serviciului: O entitate refuz s recunoasc serviciul pe care l-a executat. - Viruii, Caii Troieni, "Bombele" informatice, "Bacteriile" informatice i mai ales "Viermii" informatici. - Trapele: reprezint perturbarea acceselor speciale la sistem cum ar fi procedurile de ncrcare la distan sau procedurile de ntreinere. Ele eludeaz procedurile de identificare uzuale.

2.2.1. Viermii informatici

Denumirea de vierme a fost preluat din nuvela SF: The Shockwave Rider, publicat n 1975 de John Brunner. Cercettorii John F. Shoch i John A. Huppode de la Xerox PARC au propus aceast denumire ntr-un articol publicat in 1982: The Worm Programs, Comm ACM, 25(3):172-180, 1982, i a fost unanim adoptat. Ei au implementat primul vierme n 1978, n scopul detectrii procesoarelor mai puin ncrcate dintr-o reea i alocrii de sarcini suplimentare pentru o mai bun mprire a muncii n reea i pentru mbuntirea eficienei acesteia. Principala limitare a programului lor a fost rspndirea prea lent.

Primul vierme care s-a propagat la nivel mondial (de fapt un cal troian) a fost Christmas Tree Worm, care a afectat att reeaua IBM ct i reeaua BITNET n decembrie 1987.

Un alt vierme care a afectat funcionarea Internet-ului a fost

Morris worm. Peter Denning l-a numit 'The Internet Worm' ntr-un articol aprut n American Scientist (martie-aprilie, 1988), n care el fcea distincia ntre un virus i un vierme. Definiia lui era mai restrictiv dect cele date de ali cercettori contemporani: (McAfee and Haynes, Computer Viruses, Worms, Data Diddlers, ..., St Martin's Press, 1989). Acest vierme a fost creat de ctre Robert Tappan Morris, care n acea perioad era student la Cornell University, i a fost activat n 2 noiembrie 1988, cu ajutorul calculatorului unui prieten, student la Harvard University. El a infectat rapid un numr foarte mare de calculatoare, conectate la Internet i a produs pagube importante. Motivul pentru care el nu s-a mprtiat i mai departe i nu a produs mai multe necazuri a fost prezena unor erori n implementarea sa. El s-a propagat datorit ctorva bugs-uri ale BSD Unix i ale programelor asociate acestui sistem de

Cte tipuri de atacuri mpotriva reelelor de calculatoare exist ? Numii-le.

Dai exemple de atacuri active mpotriva reelelor de calculatoare.


37

operare, printre care i cteva variante ale protocolului 'sendmail'. Morris a fost identificat, acuzat i mai trziu condamnat.

Exist urmtoarele tipuri de viermi informatici.

De e-mail se rspndesc cu ajutorul mesajelor e-mail. Mesajul propriuzis sau fiierul ataat conin codul viermelui, dar el poate fi de asemenea declanat de un cod situat pe un site web extern. Majoritatea sistemelor de pot electronic cer explicit utilizatorului s deschid fiierul ataat pentru a activa viermele dar i tehnica numit "social engineering" poate fi adesea utilizat pentru a ncuraja aceast aciune, aa cum a dovedit-o autorul viermelui "Anna Kournikova". Odat activat viermele va emite singur, folosind fie sisteme locale de e-mail (de exemplu servicii MS Outlook, funcii Windows MAPI), sau direct, folsind protocolul SMTP. Adresele la care expediaz el mesaje sunt mprumutate adesea de la sistemul de e-mail al calculatoarelor pe care le-a infectat. ncepand cu viermele Klez.E lansat n 2002, viermii care folsesc protocolul SMTP falsific adresa expeditorului, aa c destinatarii mesajelor e-mail coninnd viermi trebuie s presupun c acestea nu sunt trimise de ctre persoana al crei nume apare n cmpul 'From' al mesajului.

De messenger mprtierea se face prin aplicaii de mesagerie

instantanee (IRC, Yahoo-Messenger) prin transmiterea unor legturi la site-uri web infectate fiecrui membru al unei liste de contact. Singura diferen ntre aceti viermi i viermii de e-mail este calea aleas pentru transmiterea legturii la site-ul infectat.

De aceast dat se utilizeaz canalele de chat IRC dar aceiai metod de infectare/mprtiere, deja prezentat, se folosete i n acest caz. Transmiterea de fiiere infectate este mai puin eficient n acest caz, deoarece destinatarul trebuie s confirme recepia acestuia, s salveze fiierul infectat i s-l deschid, pentru ca s se produc infectarea.

De sharing n reele Viermii se autocopiaz ntr-un fiier vizibil de ntreaga reea, de obicei localizat pe calculatorul infectat, sub un nume inofensiv. n acest mod viermele este gata sa fie ncrcat (download) prin reea i mprtierea infeciei continu.

De Internet Cei care intesc direct porturile TCP/IP, fr s

mai apeleze la alte protocoale de nivel mai nalt (de exemplu aplicaie, cum ar fi cel de e-mail sau cel de IRC). Un exemplu clasic este viermele "Blaster" , care a exploatat o vulnerabilitate a protocolului Microsoft RPC. Un calculator infectat scaneaz agresiv n mod aleator reeaua sa local precum i Internet-ul, ncercnd s obin acces la portul 135. Dac obine acest acces, mprtierea viermelui continu.


38

O alt clasificare posibil a acestor atacuri este n viermi distrugtori i viermi cu intenii bune.

Muli viermi au fost creai doar pentru a se mprtia. Ei nu distrug sistemele prin care se propag. Totui, aa cum s-a vzut, viermii Morris i Mydoom afecteaz traficul prin reea i produc i alte efecte neintenionate, care pot produce disfuncionaliti majore. Un program de tip payload este conceput s fac mai mult dect mprtierea viermelui - el poate terge fiiere de pe un calculator, poate cripta fiiere, n cadrul unui atac de tipul cryptoviral extortion, sau poate s expedieze documente prin e-mail. O aciune uzual efectuat de ctre un program de tip payload este instalarea unui program de tipul backdoor pe calculatorul infectat, care favorizeaz crearea unui "zombie", controlat de ctre autorul viermelui. Exemple de viermi care creaz zombies sunt Sobig i Mydoom. Reelele din care fac parte calculatoarele infectate cu astfel de viermi sunt numite botnets i se utilizeaz cu predilecie de ctre expeditorii de spam. Un program backdoor, odat instalat, poate fi exploatat i de ali viermi. De exemplu, programul de tip backdoor instalat de viermele Mydoom este folosit pentru mprtierea viermelui Doomjuice. Totui, viermii pot fi utilizai n lupta anti-tero, n cooperare cu tehnici bazate pe tiina calculatoarelor i pe inteligen artificial, ncepnd cu prima cercetare efectuat la Xerox. Familia de viermi Nachi ncearc s transfere (download) i apoi s instaleze programele de corecie (patches) de pe site-ul Microsoft pentru a corecta diferite vulnerabiliti ale calculatorului gazd aceleai vulnerabiliti pe care le exploata viermele Nachi. Aceast aciune ar putea s fac sistemul afectat mai sigur, dar genereaz trafic suplimentar considerabil.

Viermii se rspndesc exploatnd vulnerabilitile sistemului de operare sau nelnd operatorul (determinndu-l s-i ajute). Toi furnizorii ofer actualizri (updates) de securitate frecvente ("Patch Tuesday"), i dac acestea sunt instalate pe un calculator atunci majoritatea viermilor este mpiedicat s se mprtie. Utilizatorii nu trebuie s deschid mesaje e-mail neateptate i mai ales nu trebuie s ruleze fiierele sau programele ataate i nu trebuie s viziteze site-urile web la care i conecteaz astfel de programe. Totui, aa cum au dovedit-o viermii ILOVEYOU i phishing oricnd exist un procent de utilizatori care sunt nelai. Programele anti-virus i anti-spyware sunt folositoare, dar este necesar reactualizarea lor aproape zilnic.

Ce se nelege prin vierme informatic ? Cte categorii de viermi informatici exist ? Numii-le. Care sunt metodele de combatere ale viermilor informatici ?


39

2.3. Necesiti de securitate n reelele de calculatoare

Organizaia internaional de standardizare (ISO) definete n modelul OSI (Open System Interconnect) 7 nivele de comunicaii i interfeele dintre ele. Funcionarea la fiecare nivel depinde de serviciile efectuate la nivelul imediat inferior.

n ultimii 20 de ani au fost concepute i puse n funciune mai

multe tipuri de reele de calculatoare. Reele separate se integreaz n reele globale. Protocolul CLNP (Connectionless Network Protocol) al ISO, cunoscut i sub numele ISO IP, definete o cale de interconectare virtual a tuturor reelelor i o cale de acces la fiecare nod al acesteia (Network Service Access Point), NSAP din oricare alt NSAP. n prezent familia de protocoale TCP/IP, a Departamentului Aprrii din SUA, DoD, prezint cea mai natural cale de evoluie spre adevratele sisteme deschise. Protocolul IP al DoD, ofer prima cale utilizabil de interconectare a reelelor heterogene i de dirijare a traficului ntre acestea. Succesorul firesc al protocolului IP va fi protocolul CLNP, care va oferi aceiai funcionalitate dar ntr-o form standardizat internaional i cu un spaiu de adresare mai mare i mai bine structurat. n viitor reelele de intreprindere sau reelele cu valoare adugat (VAN), nu vor mai fi separate fizic ci vor fi reele virtuale, adic colecii de NSAP formnd o reea logic. Un anumit NSAP poate aparine simultan unui numr orict de mare de astfel de reele logice. Calculatoare individuale i staii de lucru sunt conectate la reele locale (LAN) rapide. LAN-urile ofer conectivitate complet (posibilitatea de comunicare direct ntre oricare dou staii din aceeai reea). LAN-urile dintr-o cldire, dintr-un complex de cldiri sau dintr-un cartier pot fi interconectate obinndu-se comunicaii cu viteze comparabile cu cele din cadrul LAN-urilor componente. Reele oreneti, MAN (Metropolitan Area Networks) se construiesc tot mai frecvent. La acestea pot fi conectate alte LAN-uri sau reele private PBX (Private Branch Exchanges). Cele mai cuprinztoare reele sunt WAN-urile (Wide Area Network). Reele i mai cuprinztoare pot fi construite folosind sisteme ATM de tipul BISDN. n ierarhia reelelor prezentat, majoritatea traficului este local (n cadrul unui aceluiai LAN). Pe msur ce se urc n ierarhie mrimea traficului scade i costurile de transmitere a informaiei cresc dar calitatea i viteza serviciilor rmn ridicate. Aceste dezvoltri au deschis perspective complet noi pentru proiectanii de servicii informatice. De exemplu un calculator oarecare, conectat la o reea local, poate comunica cu oricare alt calculator (din lumea ntreag) folosind o band larg i cu o ntrziere relativ mic. E clar c acest gen de conectivitate conduce la creterea riscurilor de securitate care trebuie considerate.

Ce se nelege prin NSAP ? Ce protocol va fi folosit n viitor n locul protocolului IP ?


40

2.3.1. Cazul LAN

Dei reelele locale au multe proprieti utile, cum ar fi banda larg, ntrzierile mici, i costuri independente de traficul de informaie, ele posed i o ameninare de securitate important. ntr-o reea local toate calculatoarele componente "ascult" n permanen mediul de comunicare, culegnd toate mesajele transmise i le recunosc pe cele care le sunt destinate pe baza adreselor destinatarilor. Asta nseamn c oricare calculator poate supraveghea, fr a fi detectat, ntregul trafic din reea. De asemenea, orice staie i poate asuma o identitate fals i s transmit cu o adres de surs fals, i anume cea a unei alte staii. Unul dintre atacurile cele mai uor de realizat este nregistrarea i retransmiterea secvenelor de autentificare. Exist n prezent posibiliti (hard i soft) pentru oricine care are acces ntr-o reea local s monitorizeze traficul, s caute secvene de tipul "Username:" sau "Password:" s nregistreze rspunsurile la aceste secvene i mai trziu s acceseze un serviciu cu o identitate fals. Este uor s se imagineze i atacuri mai ingenioase ntr-o reea local. Trebuie remarcat c orice tronson al unei reele locale poate fi securizat rezonabil folosind o pereche de dispozitive de criptare de ncredere, dar i c pe msur ce capacitatea unei reele crete i riscurile de securitate cresc.

n continuare se consider exemplul unei reele locale, deservit

de un server. Se prezint o colecie util de msuri de securitate ce se pot lua n cazul unei astfel de reele. Nu se iau n considerare sistemul de operare al serverului sau al celorlalte calculatoare. Se presupune c reeaua poate fi ameninat de urmtoarele aciuni:

De for major:

pierderea personalului; inundaie; incendiu; praf; Deficiene de organizare:

folosirea neautorizat a drepturilor de utilizare; band de frecvene aleas neadecvat;

Greeli umane:

Distrugerea din neglijen a unor echipamente sau a unor date;

Nerespecatrea msurilor de securitate; Defectarea cablurilor; Defeciuni aleatoare datorate personalului de ntreinere a cldirii sau datorate unui personal extern; Administrarea necorespunztoare a sistemului de securitate; Organizarea nestructurat a datelor;

Defeciuni tehnice:

ntreruperea unor surse de alimentare; Variaii ale tensiunii reelei de alimentare cu energie electric; Defectarea unor sisteme de nregistrare a datelor; Descoperirea unor slbiciuni ale programelor folosite;


41

Posibiliti de acces la sistemul de securitate prea greoaie;

Acte deliberate:

Manipularea sau distrugerea echipamentului de protecie al reelei sau a accesoriilor sale; Manipularea datelor sau a programelor; Furt; Interceptarea liniilor de legtur dintre calculatoarele reelei; Manipularea liniilor de legtur; Folosirea neautorizat a sistemului de protecie al reelei; ncercarea sistematic de ghicire a parolelor; Abuzarea de drepturile de utilizator; Distrugerea drepturilor administratorului; Cai Troieni; Virui de calculator; Rspunsuri la mesaje; Substituirea unor utilizatori cu drept de acces n reea de ctre persoane fr aceste drepturi; Analiza traficului de mesaje; Repudierea unor mesaje; Negarea serviciilor.

Contramsuri recomandate:

O bun alegere a modulelor de protecie. Aceast alegere se face secvenial, pe baza urmtoarelor criterii: Pasul 1: Regulile specifice instituiei respective pentru Managementul Securitii, Regulamentul de organizare al instituiei, Politica de realizare a back-up-urilor i Conceptele de protecie anti-virus; Pasul 2: Criterii arhitecturale i structurale, care iau n considerare arhitectura cldirii instituiei respective; Pasul 3: Criterii constructive ale echipamentelor care constituie reeaua; Pasul 4: Criterii de interconectare a echipamentelor din reea; de exemplu dac exist sau nu echipamente de tip firewall ; Pasul 5: Criterii de comunicare ntre echipamentele reelei, cum ar fi programele de pot electronic folosite sau bazele de date folosite. Utiliznd pe rnd toate aceste criterii rezult modelul de securitate al reelei considerate. Un astfel de model poate fi prezentat sub forma unui tabel cu urmtoarele coloane:

Numrul i numele modulului de protecie; Obiectul int sau grupul de obiecte int. De exemplu acesta poate fi numrul de identificare al unei componente sau grup de componente din reea sau numele unei cldiri sau al unei uniti organizatorice din cadrul instituiei; Persoana de contact. Persoana de contact nu este nominalizat n faza de modelare ci doar dup ce s-a ales o anumit arhitectur de sistem de securitate;

Ultima coloan este destinat observaiilor. Pe baza unei astfel de analize se poate ajunge, pentru server-ul considerat n acest paragraf, la urmtoarea list de msuri de securitate:


42

Surs de alimentare neinteruptibil (opional); Controlul mediilor de pstrare a datelor; Revizii periodice; Interzicerea utilizrii unor programe neautorizate; Supravegherea pstrrii programelor; Corecta dispunere a resurselor care necesit protecie; mprosptarea periodic a parolelor; Existena documentaiei de configurare a reelei; Desemnarea unui administrator de reea i a unui adjunct al su; Existena unei documentaii asupra utilizatorilor autorizai i

asupra drepturilor fiecruia; Existena unei documentaii asupra schimbrilor efectuate n

sistemul de securitate; Permanenta cutare a informaiilor despre slbiciunile

sistemului de protecie; Stocarea structurat a datelor; Antrenarea personalului nainte de utilizarea unui anumit

program; Educarea personalului n legtur cu msurile de securitate

utilizate; Selecia unor angajai de ncredere pentru posturile de administrator

de reea i de adjunct al acestuia; Antrenarea personalului tehnic i a personalului de ntreinere; Protecie prin parole; Rularea periodic a unui program anti-virus; Asigurarea unei operaii de login sigure; Impunerea unor restricii la accesul la conturi i sau la terminale; Blocarea sau tergerea terminalelor, conturilor care nu sunt

necesare; Asigurarea unui management de sistem consistent; Verificarea datelor noi care sosesc n reea mpotriva viruilor; Managementul reelei; Verificri periodice ale securitii reelei; Folosirea corect a echipamentelor la noi cuplri n reea; Stocarea corespunztoare a copiilor (back-up) ale fiierelor de

date; Existena de copii back-up pentru fiecare program folosit; Verificarea periodic a copiilor back-up. n prezent se urmrete integrarea dispozitivelor de securitate

izolate ((specifice fiecrui nivel de comunicaie ISO), de tipul "modulelor" amintite mai sus) n sisteme de securitate complexe, specifice fiecrui tip de reea. Denumii

Denumii msurile de securitate care pot fi luate n cazul unei reele locale.

Cum se prefigureaz viitorul securitii reelelor de calculatoare ?


43

Rezumat Termenul de virus de calculator a fost introdus, n anul

1972, de ctre Fred Cohen, pe baza analogiei cu termenul de virus biologic. Virus este termenul latin pentru otrav. Un virus de calculator este un program (cu lungimea cuprins ntre 200 i 4000 de octei) care i copiaz propriul cod n unul sau mai multe programe "gazd" mai mari, atunci cnd este activat. Cnd se execut aceste programe, se execut i virusul, continundu-se rspndirea sa.

Fred Cohen a demonstrat urmtoarea propoziie: Orice detector de virui se poate nela, furniznd alarme

false (atunci cnd clasific un fiier sntos ca fiind infectat) sau nedectnd unii virui sau fcnd ambele tipuri de erori.

Nu exist o cea mai bun strategie mpotriva viruilor. Nici un program antivirus nu poate asigura o protecie total mpotriva viruilor. Se pot ns stabili strategii anti-virus bazate pe mai multe nivele de aprare. Exist dou categorii mari de atacuri asupra reelelor: active i pasive. Viermii se rspndesc exploatnd vulnerabilitile sistemului de operare sau nelnd operatorul (determinndu-l s-i ajute). Toi furnizorii ofer actualizri (updates) de securitate frecvente ("Patch Tuesday"), i dac acestea sunt instalate pe un calculator atunci majoritatea viermilor este mpiedicat s se mprtie. Utilizatorii nu trebuie s deschid mesaje e-mailneateptate i mai ales nu trebuie s ruleze fiierele sau programele ataate i nu trebuie s viziteze site-urile web la care i conecteaz astfel de programe. Dei reelele locale au multe proprieti utile, cum ar fi banda larg, ntrzierile mici, i costuri independente de traficul de informaie, ele posed i o ameninare de securitate important. ntr-o reea local toate calculatoarele componente "ascult" n permanen mediul de comunicare, culegnd toate mesajele transmise i le recunosc pe cele care le sunt destinate pe baza adreselor destinatarilor. Asta nseamn c oricare calculator poate supraveghea, fr a fi detectat, ntregul trafic din reea. n prezent se urmrete integrarea dispozitivelor de securitate izolate (specifice fiecrui nivel de comunicaie ISO) n sisteme de securitate complexe, specifice fiecrui tip de reea.


44

NTREBRI (TEST GRIL) 1. Un program (cu lungimea cuprins ntre 200 i 4000 de octei) care i copiaz propriul cod n unul sau mai multe programe "gazd" mai mari, atunci cnd este activat, executndu-se atunci cnd se execut aceste programe se numete : a) virus, b) bomb electronic, c) cal troian, d) bacterie, e) de scanare. 2. Viruii aparinnd unei anumite categorii produc copii neidentice (dar operante) ale variantei iniiale n sperana c programul anti-virus nu le va putea detecta pe toate. Aceast clas de virui se numete de tip : a) rapizi, b) leni, c) mprtiai, d) nsoitori, e) polimorfi. 3. Cine a demonstrat urmtoarea propoziie: Orice detector de virui se poate nela, furniznd alarme false (atunci cnd clasific un fiier sntos ca fiind infectat) sau nedectnd unii virui sau fcnd ambele tipuri de erori ? a) Adi Shamir, b) Horst Feistel, c) Ronald Rivest, d) Fred Cohen, e) Eli Biham. 4. n continuare sunt descrise elementele unei clase de programe antivirus. Acestea calculeaz o mic sum de control sau valoare de funcie hash (de obicei pe baz de criptare) pentru fiecare fiier, presupus neinfectat. Ulterior compar valorile nou calculate ale acestor mrimi cu valorile iniiale pentru a vedea dac aceste fiiere au fost modificate. n acest mod pot fi detectai virui noi sau vechi, efectundu-se o detecie "generic. Cum se numete aceast clas: a) programe de monitorizare, b) programe de scanare, c)programe de verificare a integritii sau de detecie a modificrilor, d) programe bazate pe utilizarea inteligenei artificiale, e) programe de prevenie. 5. Cum se numesc viermii a cror mprtiere se face prin programe de mesagerie instantanee ? a) de e-mail, b) de messenger, c) de sharing n reele, d) de internet, e) viermi cu intenii bune.

TEM: Viermi informatici - Definiie - Clasificare - Metode de combatere

Despre virusi si tipurile lor

Documents

Transcript of Despre virusi si tipurile lor