UNIVERSITATEA “POLITEHNICA” BUCURESTI

FACULTATEA DE ELECTRONICA, TELECOMUNICATII SI TEHNOLOGIA INFORMATIEI

SECTIA ELECTRONICA APLICATA

SPECIALIZAREA INGINERIA SISTEMELOR DE CALCUL

TEMA DE CASA COMUNICATII INTERNET

“Securitate pe Internet virusi, spam, criptare”

PROFESOR CURS: STEFAN STANCESCU

ECHIPA “NIRA” formata din:

1. RADULESCU ELENA NICOLETA

2. POPA ANDREI

3. MIHAILESCU PATRICIA

4. IANCU ANDREI

5. COLCEAG ANDREEA

6. VLAD ANDREI

7. PISKOLTI ARPAD

8. RADU CRISTIAN

GRUPA 454A

2007-2008

CUPRINS

Introducere .................................................................................................................................. 6

Capitolul 1. Porturi. Servere si clienti. Aplicatii tip : Cal Troian, Spyware, Data Miner, Instant

Messenger Spammer ................................................................................................. 6

1.1 Porturi. Servere si clienti. Servere clandestine .................................................................. 6

1.2 Programe SPY-WARE .................................................................................................... 12

1.3 Programe Data Miner ...................................................................................................... 12

1.4 Programe ce trimit SPAM pe Instant Messengers ........................................................... 12

Capitolul 2. Programe cu scop distructiv : Malware, Worms si Virusi, Javascript-uri infectante

din pagini de Web, Plugin-uri si Hijacking de browser, Componente ActiveX

periculoase ............................................................................................................... 14

Capitolul 3. Programe dedicate publicitatii nedorite pe e-mail si a falsificarii adreselor :

Spoofers, Spammers, Servere SMTP dedicate SPAM-ului, Open Relay Servers .. 18

3.1 Introducere ....................................................................................................................... 18

3.2 Spam-ul ............................................................................................................................. 18

3.3 Spoofing ............................................................................................................................ 23

3.4 Open Relay Servers .......................................................................................................... 23

3.5 Bibliografie ...................................................................................................................... 25

Capitolul 4. Atacuri asupra retelelor wired si wireless : Sniffere, Placi de retea cu „Promiscuous

Mode” (MAC Nedefinit), Interceptare, Atacuri Brute-Force, Spargerea criptarii

WEP pe wireless, Flooding .................................................................................... 26

4.1 Introducere ...................................................................................................................... 26

4.2. Atacuri asupra retelelor de calculatoare ......................................................................... 27

4.2.1. Atacul in forta (“Brute-Force”) ............................................................................... 27

4.2.2. Atacul de tip dictionar ............................................................................................. 28

4.2.3. IP spoofing .............................................................................................................. 28

4.2.4. IP sniffing ................................................................................................................ 29

4.2.5. Promiscuous mode .................................................................................................. 29

4.2.6. Atacul de tip flood .................................................................................................. 29

4.3. Metode de securizare a retelelor Wireless ..................................................................... 29

4.3.1. Wired Equivalent Privacy (WEP) .......................................................................... 29

4.3.2. WPA (Wi-Fi Protected Access) ............................................................................. 30

4.3.3. Atacuri asupra retelelor wireless ........................................................................... 30

4.4 Bibliografie .................................................................................................................... 32

Capitolul 5. Solutii de protectie impotriva programelor de tip Server clandestin:

Firewall-uri, Routere, Port scannere, Utilitarul „NetStat” din Windows ........ 33

5.1 Introducere ..................................................................................................................... 33

5.2 Sisteme firewall ............................................................................................................. 33

5.2.1 Introducere - Securitatea retelelor, o problema semnalata incepand cu anul 1983 .. 33

5.2.2 Sarcina de baza ....................................................................................................... 35

5.2.3 Istorie ....................................................................................................................... 36

5.2.4 Tipuri de firewall ..................................................................................................... 37

5.3 Routere ........................................................................................................................... 38

5.3.1 Introducere .............................................................................................................. 38

5.3.2 Tipuri de routere ...................................................................................................... 40

5.4 Port scannere Nmap ........................................................................................................ 42

5.4.1 Introducere .............................................................................................................. 42

5.4.2 Specificarea tintelor ................................................................................................ 44

5.4.3 Descoperirea hosturilor ........................................................................................... 44

5.4.4 Bazele scanarii de porturi ........................................................................................ 46

5.4.5 Tehnici de scanare de porturi .................................................................................. 48

5.4.6 Specificarea porturilor si a ordinii de scanare ......................................................... 51

5.4.7 Pacalirea Firewall/IDSurilor si ascunderea identitatii ............................................. 51

5.5 Utilitarul „NetStat” din Windows ..................................................................................... 52

5.5.1 Introducere ............................................................................................................... 52

5.5.2 Parametrii ................................................................................................................. 52

5.5.3 Statistici oferite ........................................................................................................ 53

5.5.4 Exemple ................................................................................................................... 53

5.5.5 Observatii specifice platformei ................................................................................ 54

5.6 Bibliografie ....................................................................................................................... 54

Capitolul 6. Protectia calculatorului de Malware si Virusi : Antivirusi, Malware removing tools,

Curatarea manuala registrului de Windows, Setari ale sistemului de operare care

previn reinfectarea, Configurarea corecta a browserului WEB .............................. 55

6.1 Introducere ........................................................................................................................ 55

6.2 Antivirusii ......................................................................................................................... 55

6.2.1 Notiunea de scanare .................................................................................................. 56

6.3 Curatarea manuala registrului de Windows ...................................................................... 59

6.4 Configurarea corecta a browserului web .......................................................................... 61

6.5 Bibliografie ....................................................................................................................... 62

Capitolul 7. Securitatea serverelor de mail : Autentificare SMTP, SPAM Filters, SPAM

Databases, Reverse DNS ........................................................................................ 63

7.1 Autentificare SMTP .......................................................................................................... 63

7.2 Filtre Spam ........................................................................................................................ 64

7.2.1 Filtre care riposteaza ................................................................................................. 64

7.2.2 CRM114 ( nume intreg: “The CRM114 Discriminator” ) ........................................ 64

7.2.3 DSPAM ..................................................................................................................... 65

7.2.4 POPFile ..................................................................................................................... 65

7.2.5 SpamAssassin ........................................................................................................... 65

7.3 Baze de date Spam ............................................................................................................ 66

7.3.1 Istoric ........................................................................................................................ 66

7.3.2 Mod de operare ......................................................................................................... 66

7.3.4 Interogari DNSBL ................................................................................................... 66

7.3.5 Critici ........................................................................................................................ 68

7.4 Reverse DNS .................................................................................................................... 68

Capitolul 8. Calculatoare Zombie: Botnet, Atacuri DoS, Viermele MyDoom .......................... 70

8.1 Calculatoarele „Zombie” si retelele Botnet ...................................................................... 70

8.2 Atacuri DoS ...................................................................................................................... 70

8.3 Metode moderne de atac ................................................................................................... 71

8.4 Exemplu de vierme functional, scris in VBScript ............................................................ 73

8.5 Viermele MyDoom ........................................................................................................... 74

Capitolul 9. Criptografia traditionala: Algoritmi criptografici cu cheie secreta, Principii practice

de criptare ................................................................................................................ 76

9.1 Introducere ....................................................................................................................... 76

9.2 Terminologie de baza ...................................................................................................... 77

9.3 Securitatea algoritmilor .................................................................................................... 78

9.4 Protocoale pentru comunicatii criptografice simetrice .................................................... 79

9.5 Algoritmi simetrici ........................................................................................................... 80

9.5.1 Algoritmi secventiali ............................................................................................... 80

9.5.2 Algoritmi (cifruri) bloc ............................................................................................ 81

9.5.3 Cifruri bazate pe curbe eliptice ............................................................................... 82

9.6 Un exemplu de cifru simetric ........................................................................................... 87

9.6.1 Cum alegem criptarea in aplicatiile din retele ......................................................... 92

9.7 Bibliografie ...................................................................................................................... 93

Capitolul 10. Criptografia moderna: Algoritmi criptografici cu cheie publica, Sisteme cu chei in

custodie, Certificate digitale ................................................................................ 94

10.1 Introducere ..................................................................................................................... 94

10.1.1 Principalele sisteme de criptare cu cheie publica .................................................. 94

10.1.2 Principii generale de construire a unui sistem de criptare cu cheie publica .......... 95

10.1.3 Securitatea sistemelor de criptare cu cheie publica ............................................... 95

10.1.4 Comparatie intre criptarea simetrica si cea cu cheie publica ................................. 96

10.1.5 Comparatie intre criptarea simetrica si cea cu cheie publica ................................. 97

10.1.6 Sistemul de criptare RSA ....................................................................................... 97

10.1.7 Implementarea sistemului RSA ............................................................................. 98

10.1.8 Securitatea sistemului RSA .................................................................................. 100

10.1.9 Sistemul de criptare El Gamal .............................................................................. 100

10.2 Chei in custodie ............................................................................................................ 100

10.3 Certificate digitale ........................................................................................................ 102

10.3.1 Certificate digitale X.509 v3 ................................................................................ 102

10.3.2 Extensii standard .................................................................................................. 103

10.3.3. Alte tipuri de certificate ...................................................................................... 104

10.3.4. PKI ...................................................................................................................... 104

10.3.5 Modelul arhitectural PKIX .................................................................................. 105

10.3.6 Dispunerea componentelor PKI ........................................................................... 106

10.3.7 Arhitecturi ierarhice ............................................................................................. 106

10.3.8 Arhitecturi de tip retea ......................................................................................... 107

10.3.9 Politicile si practicile de certificare ..................................................................... 107

10.3.10 Validarea starii certificatelor ............................................................................. 108

10.3.11 CRL ................................................................................................................... 108

10.3.12 Puncte de distributie a CRL-urilor .................................................................... 109

10.3.13 Delta CRL ......................................................................................................... 109

10.3.14 OCSP (Online Certificate Status Protocol) ....................................................... 109

10.3.15 Liste de AC de incredere ................................................................................... 110

10.3.16 Cross-certificarea bilaterala ............................................................................... 110

10.3.17 Autoritati de Certificare Punte (Bridge CA) ..................................................... 111

10.3.18 Aspecte privind implementarea unui PKI organizational ................................. 111

10.3.19 Etapele implementarii unui PKI organizational ................................................ 112

10.3.20 Furnizori de solutii PKI ................................................................................... 112

10.4 Bibliografie ........................................................................................................... 112

Capitolul 11. Semnatura digitala: Algoritmi pentru semnatura digitala, Pachetul de programe

PGP(Pretty Good Privacy) .................................................................................. 114

11.1 Algoritmi pentru semnatura digitala ............................................................................ 114

11.1.1 Ce este foarte pe scurt un algoritm criptografic?................................................ 114

11.1.2 Algoritmul DES ................................................................................................. 115

11.1.3 Algoritmul DSA ................................................................................................. 115

11.2 Pachetul de programe PGP (Pretty Good Privacy) ..................................................... 117

11.2.1 Semnaturi digitale .............................................................................................. 118

11.2.2 Plase de incredere .............................................................................................. 118

11.3 Bibliografie .................................................................................................................. 119

Capitolul 12. Sisteme electronice de plati: Sisteme de plati in Internet bazate pe carduri

bancare(SET), Sisteme on-line de plata cu moneda electronica ......................... 120

12.1 Introducere .................................................................................................................... 120

12.2 SET ( Secure Electronic Transaction) .......................................................................... 121

12.2.1 Desfasurarea tranzactiilor SET ........................................................................... 122

12.2.2 Semnatura duala .................................................................................................. 123

12.2.3 Tipuri de tranzactii admise de SET ..................................................................... 125

12.3 Sisteme on-line de plata cu moneda electronica ........................................................... 127

12.4 Bibliografie ................................................................................................................... 128

Capitolul 13. Criptare de date in retele : SSL, HTTPS, MD5, Secure SMTP, Secure POP3,

WPA, WEP ......................................................................................................... 129

Introducere

Aparitia si dezvoltarea continua a utilizarii calculatoarelor practic în toate domeniile

vietii, existenta si evolutia puternica a retelelor teleinformatice la nivel national si

international, globalizarea comunicatiilor, existenta unor baze de date puternice, aparitia si

dezvoltarea comertului electronic, a postei electronice, constituie premisele societatii

informationale în care pasim. Toate acestea indica o crestere extraordinara a volumului si

importantei datelor transmise sau stocate si implicit a vulnerabilitatii acestora. Protectia în

aceste sisteme vizeaza:

• eliminarea posibilitatilor de distrugere voita sau accidentala.

• asigurarea caracterului secret al comunicarii pentru a preveni posibilitatea ca

persoane neautorizate sa extraga informatii.

• autentificarea informatiei în scopul prevenirii posibilitatii ca persoane

neautorizate sa introduca informatii în sistem.

• în anumite situatii, cum ar fi transferurile electronice de fonduri, negocierile

contractuale, este importanta existenta unor semnaturi electronice pentru a

evita dispute între emitator si receptor cu privire la mesajul transmis.

Capitolul 1

Porturi. Servere si clienti. Aplicatii tip : Cal Troian, Spyware, Data Miner, Instant Messenger Spammer

IANCU ANDREI

1.1 Porturi. Servere si clienti. Servere clandestine.

Evolutia sistemelor de calcul si interconectarea acestora au stat la baza boom-ului informatic de azi. Lucrul cu datele pe calculator, bazat pe rapiditarea cu care sunt stocate, citite si procesate informatiile a avut – firesc – o nevoie acuta partajarii acestora. Astfel, s-a dezvoltat reteaua mondiala de calculatoare, unica, numita „Internet”. Astfel, odata cu creatia unei retele mondiale au aparut noi posibilitati de frauda, atacuri si publicitate in masa. Reteaua de internet este o extindere, la nivel global, de retea TCP/IP. Protocolul TCP/IP foloseste adrese IP si porturi pentru a realiza conexiuni intre un client si un server. Server-ul poate fi si o aplicatie, nu neaparat un calculator anume destinat acestui scop. Clientul, de asemenea, este o aplicatie ce poate fi folosita cu un anume tip de server. In baza acestor afirmatii, s-a exploatat de-a lungul timpului ideea de „server ascuns”. Iata cum : pe un calculator, expus atacului (il vom numi „victima”) este instalata o aplicatie TSR (terminate and stay resident), invizibila, care accepta conexiuni pe un anumit port. Aceasta aplicatie TSR este invizibila utilizatorului, acesta nestiind undeori de existenta perioade foarte lungi de timp. Daca victima este conectata la internet, aplicatia server accepta conexiuni pe un anumit port si poate servi atacatorului informatii din calculatorul unde ruleaza. Ceea ce poate un server sa faca pe calculatorul pe care ruleaza e limitat doar de posibilitatile sistemului de operare si de cunostintele de programare ale celui care a scris server-ul. Astfel de servere clandestine au capatat denumirea argotica de „Cal Troian”. Singurul dezavantaj pe care il prezinta este ca trebuie sa fie executate intr-un fel pe calculatorul victima. De cele mai multe ori, acest lucru presupune ca atacatorul ar avea macar odata acces la calculatorul vizat, in vederea copierii si executarii programului server. Cu toate astea, exista posibilitati ca executia si copierea sa aiba loc si fara accesul la calculator. Aici intervin vulnerabilitatile sistemelor de operare si lipsa de experienta a utilizatorului. Cele 2 cai au fost exploatate din plin de-a lungul ultimilor 5 ani, iar, cu fiecare versiune imbunatatita de sistem de operare s-a utilizat mult mai mult factorul psihologic : de pacalire a utilizatorului in a executa programul primit.

Dar, pentru inceput, sa vorbim despre vulnerabilitatile sistemului de operare. Vom exemplifica unele atacuri asupra sistemului „Windows”, deja cunoscute : atacurile pe NetBIOS. Windows are implementat la nivel de sistem de operare o suita de servere, de care putini utilizatori stiu. Acestea servesc hard-disk-ul local al calcultorului, prin deja cunoscutul serviciu de „File Sharing”. Scopul acestui serviciu era de a ptuea partaja usor fisierele intr-o retea de calculatoare Windows, atata timp cat unui folder i se dadea o proprietate de „Shared”. O zdravana bresa de securitate face ca lucrurile sa nu fie neaparat asa de simple : exista o posbilitate de a accesa pur si simplu discurile, chiar si fara proprietatea de „Shared” atat la Windows 9x cat si la Windows NT, prin NetBIOS.

Vom da mai jos un exemplu de atac al unei masini de calcul cu caracteristici tipice azi:un calculator cu Windows XP SP2 legat la internet.

Windows este un sistem de operare complex, care vine cu multe programele utilitare, multe nedocumentate dar cu o functionalitate puternica si cu largi posibilitati de manipulare.

Presupunem ca ip-ul pe internet al calculatorului este : 203.195.136.156

Folosind comanda nbtstat vom „cerceta terenul” afland cateva informatii despre calculatorul victima :

C:\windows>nbtstat -a 203.195.136.156

Vom obtine urmatoarea tabela cu pretioase informatii :

NetBIOS Remote Machine Name Table

Name Type Status -----------------------------------------------------------------------------------

user <00> UNIQUE Registered workgroup <00> GROUP Registered user <03> UNIQUE Registered user <20> UNIQUE Registered

MAC Address = 00-02-44-14-23-E6

Privind in totala necunostinta cele de mai sus, primul lucru care se poate vedea e ca am obtinut dintr-un foc numele utilizatorului „user” si adresa MAC a placii de retea. Acum, daca ne uitam la codul dintre crosete, vedem la un moment dat <20>. Acesta este un cod adesea intalnit, deoarece multe sisteme cu windows pe ele au activat serviciul de file sharing, iar codul de mai sus ne spune ca pe sistemul respectiv de calcul functioneaza server-ul implicit de fisiere al Windows. Acest lucru poate fi la fel de usor de aflat cu un port-scanner care ne poate spune daca pe portul :nbstat sau :nbsession exista servere.

Acum trebuie sa vedem cum se numesc discurile sau folderele sharuite pe calculatorul tinta. Din nou, un utilitat din Windows (net.exe) ne va ajuta in acest sens.

C:\windows>net view \\203.195.136.156

Shared resources at \\203.195.136.156 CalculatorAndreea

Share name Type Used as Comment -----------------------------------------------------------------------------------

C Disk

The command completed successfully.

Odata ce am aflat ca avem ce are sharuit calculatorul respectiv, pornim atacul propriu-zis, si anume, atasam drive-ul calculatorului strain calculatorului nostru, facandu-l un „Network Drive”. Aceasta chestie este echivalentul unui „mount” din Linux.

c:\windows>net use z: \\203.195.136.156\C

The command completed successfully.

Gata. Am montat disk-ul sharuit de calculatorul victima ca drive-ul Z: cu drepturi depline.

Dar, ce ne facem daca nu stim daca utilizatorul are drive-ul sharuit cu parola sau alt username pe calculator ? Putem sa ne logam pe drive-ul sharuit si intr-un mod mai inteligent :

c:\windows>net use z: \\203.195.136.156\ipc$ "" /administrator:""

The command completed successfully.

Un lucru pe care multi utilizatori si contructori de sisteme nu-l stiu este ca un sistem Windows XP cu setarile implicite are un login „Administrator” si nu are parola. Multi oameni, ca sa nu le fie ceruta parola la pornirea calculatorului, lasa parola de administrator un blank (nu seteaza nici una). Astfel, comanda de mai sus e perfect corecta pentru user-ul „administrator”, cu drepturi depline si fara nici o parola. Acest lucru ne da acces de citire/scriere pe hard-disk-ul victimei.

O alta bucurie pentru intrusi este ca Windows are un folder de unde executa implicit, la pornire, toate executabilele. Folder-ul se numeste StartUp si se gaseste in :

”%documentsandsettings%\%user%\Start Menu\Programs\StartUp”

%documentsandsettings% este de obicei „C:\Documents And Settings”

%user% este numele utilizatorului, care de obicei este :

„C:\Documents And Settings\Andministrator”

Asadar, cu acces de scriere pe disc, copiind calul nostru troian (server-ul clandestin) in folder-ul startup, acesta va fi lansat automat de Windows la pornire. O lansare este suficienta pentru ca sistemul sa fie „infectat”. Server-ul nostru poate sa fie scris cu cod care sa instaleze porniri automate si pe alte cai (de exemplu chei de registru) sau sa se autoinstaleze ca serviciu in Windows (numai pe Windows NT), avand grija el insusi sa fie executat automat adesea, ca nu cumva sa se rateze o ocazie de pornire a serverului. Toate astea se petrec, de obicei, instantaneu fara ca utilizatorul sa poata macar banui o activitate clandestina pe calculatorul sau.

Mai sus am demonstrat cum se poate instala, fara de stiinta utilizatorului si fara acces la calculator, un program de tip „Cal Troian” sau „BackDoor” care sa faciliteze unui atacator controlul asupra masinii de calcul vizate.

Calul Troian, ca si program trebuie sa indeplineasca un numar de sarcini, odata executat :

· Sa asigure pornirea sa cu fiecare secventa de boot a calculatorului.Exemple de metode a lansarii automate a unui program in Windows:

Scrierea unui string ce asigura pornirea in cheia de registru :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Creerea unui shortcut in folderele de StartUp :

”C:\Documents And Settings\All Users\Start Menu\Programs\Run”

„C:\Documents And Settings\%USER%\Start Menu\Programs\Run”

Inregistrarea programului destinat executiei automate ca serviciu in Windows.

Aceasta procedura, ceva mai complicata, presupune inregistrarea programului in windows cu ajutorul lui RegSvr32.exe si alocarea unui identificator programului; apoi inregistrarea sa in lista de servicii. Avantajul acestei metode este ca putini utilizatori stiu sa configureze serviciile, iar in Windows XP Home Edition nici macar nu exista un utilitar pentru administrarea lor, facand astfel oprirea server-ului clandestin foarte dificila.

Asocierea ca program de deschidere pentru fisiere des uzitate (*.exe, *.jpg, etc.) :

In registru, adaugam in cheia : HKEY_CLASSES_ROOT\.jpg\Open

si in proprietatea : „shell” REG_SZ valoarea „%numeprogram%, %1”

unde %1 este argumentrul programului. Server-ul poate fi instruit sa lanseze programul primit argument sau sa deschida programul asociat in mod obisnuit fisierului respectiv, astfel incat utilizatorul nici macar sa nu observe ca s-a lansat alt program pe parcurs. Metoda aceasta a fost folosita la foarte putine programe si a dat rezultate foarte bune in privinta camuflarii, foarte putina lume reusind sa o descopere; majoritatea optand direct pentru reinstalare de Windows.

· Sa isi deghizeze existenta fizica de fisier executabil si sa se ascunda in cat mai multe foldere spre a fi greu de sters

Creerea de fisiere care arata ca foldere :

Aceasta metoda, folosita initial la un virus speculeaza faptul ca Windows e setat implicit sa ascunda extensiile fisierelor cunoscute. Cum fisierele *.exe sunt programe si sunt recunoscute ca atare, Windows afiseaza doar numele fisierului si iconita sa.Avand in vedere ca la creerea unui folder in majoritate lumea ii lasa (cel putin un timp) numele „New Folder” s-a constatat ca, daca se creaza un fisier „New Folder.exe” si i se pune ca iconita pictograma folder-ului din Windows, el poate fi foarte usor confundat cu un director. Din curiozitate o majoritate covarsitoare va da dublu click pe el, lansand programul astfel deghizat.

Folosirea dublelor extensii :

Aceasta metoda, folosita adesea de multe programe malicioase pentru a induce utilizatorul in eroare, speculeaza ca si metoda de mai sus faptul ca Windows ascunde in mod implicit extensiile fisierelor cunoscute. Un executabil cu numele „program.jpg.exe” va aparea in Windows sub numele „program.jpg”. Multi utilizatori cad prada acestei capcane fiind mai tentati sa deschida poza cu extensia „*.jpg” decat sa se intrebe de ce a aparut brusc extensia „*.jpg” deodata la unele fisiere, cand ea de obicei nu obisnuia sa apara. Este si fireasca aceasta actiune, mai ales cand programul in cauza foloseste o pictograma tipica folosita de Windows pentru fisierele „*.jpg”. Tehnica este si eficienta in cazul tuturor extensiilor de fisiere populare, gen „*.avi”, „*.mp3” si altele. Ea serveste, de asemenea la transmiterea mai usoara a programului clandestin in retele de filesharing si p2p.

Folosirea de nume comune in sistemul de operare :

O mare parte din programele componente Windows au in structura numelui lor „ms” de la „Microsoft”, „win” de la „Windows” si „32” de la executabil pe 32 de biti. Astfel, pe langa numele familiare „winword.exe”, „kernel32.dll”, „mspaint.exe”, „regsvr32.exe” se pot strecura si nume construite sa para familiar :

„msrun32.exe”, „regdll32.exe”, „winsvc.ece”, „mstask.exe” s.a.m.d.

De asemenea, se pot face imitatii ale proceselor tipice Windows NT cum ar fi :

„lssas.exe” in „lssass.exe”, „svchost.exe” in „svchost32.exe”, „csrss.exe” in „cssrss.exe” si lista poate continua. Dublarea unei litere, inserarea sau eliminarea uneia sunt tehnici tipice pentru a da o nota familiara fisierului, mai ales pentru utilizatorii mai experimentati, dar nu suficient de informati in a cunoaste pe de rost numele tuturor proceselor.

Astfel, ei vor vedea nume familiare si de multe ori chiar si utilizatori cu un ridicat grad de experienta sunt pacaliti vazand nume si neputand observa discretele diferente intre programul original si cel clandestin.

· Sa se faca total invizibil utilizatorului si sa nu ocupe resurse prea multe

· Sa deschida cel putin un port de comunicatie pe o adresa ip accesibila atacatorului

Optional :

· Sa isi lanseze cat mai multe instante; ca fiecare dintre ele sa aiba grija ca celelate sa nu fie terminate fortat de catre utilizator sau un eventual antivirus

Creerea de fisiere autorun.inf pe hard-diskuri :

Cand utilizatorul va da dublu click pe hard-disk in My Computer in loc sa fie deschis un explorer cu fisierele de pe hard-disk Windows va executa programul trecut in autorun.inf din radacina disk-ului respectiv.

Fisierul autorun.inf are o structura foarte simpla :

[autorun]

open=%numefisier%

icon=%numefisier%, n

(unde n>=1 e index-ul iconitei fisierului executabil sau *.dll)

· Sa deschida un port pe firewall ca sa poata fi facute conexiuni ale clientului catre masina respectiva de calcul

· Daca victima e in spatele unui router cu capacitate Plug’n’Play, sa configureze platforma UPnP a router-ului pentru a permite accesul clientilor prin internet

Odata instalat pe calculator, programul ar trebui sa fie total inofensiv pana la primirea de comenzi din partea clientului. In functie de cata libertate permite sistemul de operare unei aplicatii, calul troian poate face o aproape o infinitate de lucruri. Cu toate astea, lucrurile de baza pentru care sunt folositi astfel de cai troieni sunt KeyLogger-e (sisteme de inregistrat tot ceea ce s-a tastat la tastatura), sisteme de citire/scriere in hard-disk (pentru furt / plasament de fisiere) si un sistem de executie pe masina victima a unor aplicatii alese de atacator, in cazul dorintei instalarii de virusi sau a altor programe.

1.2 Programe SPY-WARE

O alta categorie de programe de tip clandestin dar nu server ci client, sunt programele de spy-ware. Acestea sunt programe care culeg informatii despre ce site-uri se viziteaza pe calculatorul victima, informatii despre utilizator, si (unele) retin tot ceea ce s-a tastat (au si rol de KeyLogger). Dar, spre deosebire de cai troieni, acestea nu stau in calculator si asteapta sa se conecteze un client ci se conecteaza ele insele la un server predefinit si trimit rapoarte asupra scopurilor utilizarii calculatorului pe care au fost instalate. De obicei ele functioneaza in paralel cu un AdWare, un program de tip server care ruleaza pe calculatorul victima si asteapta sa se conecteze clienti care ii trimit comenzi de afisare a anumitor tipuri de reclame pe ecranul victimei. Clientii care se conecteaza sunt, de obicei, calculatoarele unde trimit programele SpyWare statistici despre uzul calculatorului urmarit, si unde se decide ce tipuri de reclame sa trimita. In unele cazuri, programul de SpyWare comanda direct programul AdWare pe acelasi calculator, fara a mai fi nevoie de a mai trimite din calculatorul care primeste statisticile comenzi specifice. Bineinteles, si aici posibilitatile de configurare si constructie a astfel de programe sunt infinite, ele putand fi combinate chiar toate intr-un singur program care le face pe toate : server clandestin de sistem, spionaj, reclame si chiar atac asupra altor calculatoare.

1.3 Programe Data Miner

O categorie aparte de programe spion, chiar preinstalate si livrate in Windows sunt cele „Data Miner”. Dupa cum le spune si numele, aceste programe cauta date utile vanzatorilor de publicitate. Spre deosebire de spyware ele nu sunt clandestine si nu transmit informatii despre utilizator, ele sunt strict interesate de ceea ce cauta utilizatorul pe Web si transmit unor servere dedicate informatii anonime despre aceste cautari si (sau) accesari. Un exemplu ar fi data miner-ul „Alexa” al site-ului www.alexa.com, autointitulata „The Web information Company” cu ajutorul caruia se fac statistici asupra interesului pentru anumite site-uri sau numarul de vizite de pe un anumit calculator, intr-un interval de timp. Acest data miner vine integrat cu Windows XP in SP1 si SP2, si apare in optiuni la Internet Explorer sub textul „Allow browser to report anonymous usage information”. De mentionat este faptul ca, desi optiunea poate fi dezactivata, programul ramane activ si trimite informatii in continuare. Aceste programe, desi ruleaza pe ascuns si nu sunt instalate direct de catre utilizator sunt facute publice prin diverse documente care insotesc alte programe care le instaleaza si sunt recunoscute de catre companiile care le folosesc. De obicei ele nu produc pagube sistemului pe care ruleaza, dar prin natura sarcinii lor, pot compromite intimitatea utilizatorului.

1.4 Programe ce trimit SPAM pe Instant Messengers

Programele de comunicare scrisa instantanee de tip „Instant Messenger” sunt azi din ce in ce mai raspandite. Acestea sunt niste programe de tip server / client instalate de un utilizator perfect constient de existenta acestora si de buna voie, spre a comunica cu ajutorul lor pe internet cu alte persoane care folosesc astfel de programe. Natura lor este dubla : aplicatia server primeste mesajele de la o alta instanta – client – ce ruleaza pe un alt calculator, iar aplicatia client trimite mesaje catre instanta server care ruleaza pe calculatorul interlocutorului. Astfel se creaza un duplex, o comunicare bidirectionala. Aplicatia server, cea care primeste mesajele, deschide un port pe care asculta tot ceea ce se trimite. Daca mesajul are un anumit header el este recunoscut ca un mesaj specific aplicatiei si este decodat (eventual si decriptat) si apoi afisat utilizatorului pe ecran. Aici avem de aface cu o slabiciune, pe motiv ca se pot crea aplicatii care sa scaneze ip-uri, sa vada daca pe sistem ruleaza un astfel de server care accepta comenzi, sa se conecteze la acesta si sa trimita mesaje nedorite (si chiar reclame). Acest fenoment se numeste Instant Messanger Spam si vizeaza toate programele de tip Instant Messanger care se afla pe piata. Un exemplu cunoscut este iar un utilitar din Windows NT numit „Windows Messenger”. Acesta este un server care afiseaza pe ecran intr-un pop-up textul care vine pe port-ul 1035. S-au dezvoltat in acest sens mai multe programe care colecteaza ip-uri cu portul 1035 deschis de aceasta aplicatie si le trimit pe accel port mesaje cu reclame, cu invitatii catre un site sau chiar si amenintari. Cei de la Microsoft si-au dat seama de vulnerabilitate si au oprit functionarea implicita in Windows XP, programelul de mai sus fiind deja abuzat de multe ori in versiunile Windows 2000 si NT4. Pe sistemele de instant messanging gen Yahoo! sau AIM sau MSN acest lucru e mai greu deoarece mesajele sunt trimise unui server central care le verifica provenienta, apoi de-abia trimitandu-le mai departe catre destinatari. Cu toate astea, exista solutii de spam si pentru programele de mai sus, putand fi create conturi pe site-urile respective si prin acele conturi pot fi trimise mesajele cu un program special.

Capitolul 2

Programe cu scop distructiv : Malware, Worms si Virusi, Javascript-uri infectante din pagini de Web, Plugin-uri si Hijacking de browser, Componente ActiveX periculoase

PISKOLTI ARPAD

Softurile Malware sunt destinate sa se infiltreze sau sa strice sistemul fara a stii. Expresia este un termen general folosit de profesionesti in software ce inseamna o varietate de forme ostile sau orice neplacut soft sau program cod.

Multi utilizatori de computere normale sunt inca nefamiliarzati cu termenul, si cei mai multi nu il folosesc niciodata. In schimb folosesc in limbaj uzual “virus de calculator” si in media, desi nu tot ce e malware este virus. Un alt termen ce de curand este confundat cu malware este badware, poate datorita initiativei de a opri malware Stopbadware.

Softurile se considera malware in special datoritaintentiilor creatorului decat unele componente particulare. Include virusi,worms, trojan horses,spyware si alte softuri nedorite. Malware nu ar trebui confundat cu soft defect, soft care are un scop legitim dar contine buguri daunatoare.

Multe programe de infectare timpurii, incluzand primul Internet Worm si mai multi MS-DOS virusi, au fost scrisi ca experimente sau din gluma in general create fara a fi distructivi sau cel mult suparatori. Tinerii programatori invatau despre virusi si tehnicile de a le scrie pentru a-si dovedi ca pot sau pentru a vedea cat de departe se raspandeau. Pana in 1999 multi virusi larg raspanditi, precum Melissa pareau a fi scrise ca glume.

O intentie mai ostila poate fi gasita in programe create pentru a distruge sau vandaliza datele. Multe virusuri DOS si wormul Windows ExplorerZip, au fost destinate pentru a disturge fisierele de pe un hard disk, sau sa corupa sistemul de operare prin scrierea de junk data. Viermii creati pentur retea precum in 2001 Code Red worm sau Ramen worm cad in aceeasi categorie. Destinate sa vandalizeze pagini web, acesti viermi par a fi echivalentul online la grafitti, cu aliasul autorului sau grupul din care face parte aparand oriunde merge viermele.

Totusi, de cand raspandirea vasta a internetului broadband, mai multe programe au fost create din ratiuni de profit. De exemplu, din 2003, majoritatea virusurilor si viermilor larg raspanditi au fost intentionati pntru a prelua controlul calculatoarelor pentru exploatarea de pe piata neagra. Multe “zombie computers” infectate sunt folosite pentru a trimite spamuri, pentru a detine data de contrabanda, sau sa atace de tip flood ca metode de santaj.

Altfel de soft strict creat pentru profit este spyware, programe destinate pentru monitorizarea utilizatorului, afisarea de reclame nedorite, sau sa redirectioneze veniturile din marketing afiliat ale utilizatorului(de exemplu bonusuri pentru completare de chestionare) catre creator. Programele spyware nu se raspandesc ca virusii; se instaleaza in general prin exploatarea gaurilor din securitate sau inserate in softuri impachetate.

Cele mai cunoscute tipuri de malware, vriusii si viermii, sunt cunoscuti pentru mecanismul in care se raspandesc, decat prin comportamentul lor particular.

Virusul este definit ca un software cu doua caracteristici principale:

- Se auto-executa. Virusul se poate atasa altor programe sau se poate ascunde in codul care ruleaza automat la deschiderea anumitor tipuri de fisiere.

- Se auto-multiplica. Acest lucru este posibil prin atasarea virusului la alte programe din computer sau prin suprascrierea acestora. Virusul se auto-raspandeste cu ajutorul floppy disk-urilor sau a oricarei alte forme de schimb de date, nu numai in statia de lucru, dar si in intreaga retea. Ulterior, este activat impreuna cu partea infectata.

Tinand cont de tinta infectarii, virusii pot fi clasificati in cateva categorii. Unii virusi pot avea mai multe tinte. Acestia sunt denumiti multipartiti.

1 Virusii paraziti: afecteaza fisierele executabile. Virusul este lansat cand fisierul executabil este pornit. Virusii paraziti pot fi:

- Virusi rezidenti in memorie, care pot controla intregul sistem si il pot infecta oricand

- Virusi non-rezidenti, care sunt activati numai la pornirea aplicatiei-gazda.

Intrucat acesti virusi infecteaza fisiere executabile, se pot raspandi prin intermediul oricarui mediu de stocare sau de transfer a datelor: floppy disk-uri, CD-uri, modemuri, retele. Virusii se raspandesc odata cu executarea fisierului-gazda.

2 Virusii de boot: afecteaza fisierele executabile. Virusul este lansat cand fisierul executabil este pornit. Virusii paraziti pot fi:- Virusi rezidenti in memorie, care pot controla intregul sistem si il pot infecta oricand - Virusi non-rezidenti, care sunt activati numai la pornirea aplicatiei-gazda. Intrucat acesti virusi infecteaza fisiere executabile, se pot raspandi prin intermediul oricarui mediu de stocare sau de transfer a datelor: floppy disk-uri, CD-uri, modemuri, retele. Virusii se raspandesc odata cu executarea fisierului-gazda. infecteaza sectorul de sistem a discurilor, sectorul de boot din floppy disk-uri si hard disk-uri. Singura modalitate de replicare a acestor virusi este pornirea sistemului de pe discul infectat. Accesarea sau copierea informatiilor de pe discurile infectate nu sunt operatii riscante atata vreme cat sistemul nu este pornit de pe discul infectat.

Virusii de boot rezida intotdeauna in memorie. Desi majoritatea sunt creati pentru DOS, nu tin cont de sistemul de operare, astfel ca, de fapt, toate computerele sunt vulnerabile in fata acestui tip de virus.

3 Virusii de Master boot: sunt rezidenti in memorie, ca si virusii de boot, dar sunt localizati in sectorul master boot. Acesti virusi vor salva in alta locatie o copie curata a sectorului master boot.

4 Virusii de Macro-uri: sunt plasati intr-unul sau mai multe macro-uri dintr-un document Microsoft Office si utilizeaza funcionalitatile puternice ale Visual Basic for Applications, care a fost creat pentru a permite utilizatorilor sa automatizeze anumite activitati.

5 Virusii de link-uri: nu altereaza fisierele executabile, ci structura de directoare, redirectionand calea directorului unui fisier infectat catre zona in care este localizat virusul. Dupa lansare, virusul poate incarca fisierul executabil, citind calea corecta a directorului fisierului respectiv.

6 Virusii-pereche: creeaza un fisier executabil nou, cu acelasi nume, dar cu extensia .COM. Daca intalneste doua fisiere executabile cu acelasi nume, dar cu extensii diferite (.COM and .EXE), sistemul de operare Windows lanseaza intai fisierul .COM.

7 Virusii ascunsi: rezida intotdeauna in memorie si incearca sa "pacaleasca" sistemul, ascunzandu-si existenta. Virusii ascunsi se multiplica si se comporta astfel incat sa preia controlul asupra datelor si continutului programelor, fara stiinta utilizatorilor sau a programelor anti-virus. Cand sistemul de operare (de exemplu prin comanda DIR) incearca sa afle dimensiunea unui program infectat, virusul ascuns scade o parte din aceste date, egala cu dimensiunea propriului cod, si o inlocuieste cu datele corecte. Astfel, daca programul este doar citit (de un scanner de virusi), dar nu este rulat, codul viral este ascuns si nu poate fi detectat.

8 Virusii criptati: folosesc o tehnica de modificare a propriului cod viral, astfel incat programele anti-virus sa nu-i depisteze. Virusul se auto-converteste in semne criptate, pe care programul anti-virus nu le poate recunoaste. Totusi, pentru a putea sa se raspandeasca, acesti virusi trebuie sa se auto-decripteze si, astfel, pot fi detectati.

9 Virusi specifici:

- Virusul de ActiveX este scris pentru a infecta produsele Microsoft. Utilizeaza un cod incarcat de pe server si se raspandeste in statia locala. Virusul tinteste numai sistemele de operare Microsoft Windows si foloseste Microsoft Internet Explorer pentru a se raspandi.

- Virusul VB script foloseste Visual Basic pentru a aduce codul de pe serverul de Web si a se raspandi in statiile de lucru locale. E suficient sa accesati o pagina de pe Internet pentru a va infecta computerul. In orice caz, virusul de acest tip are nevoie de Microsoft Internet Explorer.

- Virusii de Java: comparative cu Applet-urile Java, folosite in special pentru animatie si control, programele Java pot efectua operatii riscante din punct de vedere al securitatii (ca scrierea pe hard-disk). Au aparut deja atacuri de virusi prin intermediul applet-urilor, dar cei din a doua categorie sunt mult mai periculosi.

Viermii sunt similari virusilor, dar nu au nevoie de un fisier-gazda pentru a se multiplica. Un vierme foloseste sistemul infectat pentru a se replica si utilizeaza comunicarea intre computere pentru a se raspandi. Viermii au o caracteristica comuna si troienilor: nu pot infecta un fisier; ei afecteaza sistemul.

Viermii se pot raspandi prin email (folosind propriul engine SMTP sau un anumit client de mail, de obicei Microsoft Outlook sau Outlook Express), prin fisiere partajate in retea, prin programele de mesagerie instanta sau prin programe de partajare de fisiere, cum este KaZaA.

Programul anti-virus incearca intotdeauna sa recupereze datele din fisierele infectate, dar e vorba numai de acea parte care a ramas intacta, daca fisierele nu au fost complet distruse. Pentru ca programul anti-virus sa functioneze eficient si pentru a pastra toate informatiile de care aveti nevoie si pe care le-ati obtinut cu greu, trebuie sa fiti precauti:

· Scanati intotdeauna atasamentele email-urilor inainte de a le deschide, chiar daca apparent sunt doar fisiere text sau le primiti de la persoane cunoscute;

· Mentineti la zi actualizarile de securitate. Marea majoritatea a virusilor din ziua de azi se bazeaza pe bug-uri de securitate;

· Scanati intotdeauna floppy disk-urile inainte de utilizare si comutati-le in modul write-protect dupa ce transferati datele pe ele;

· Asigurati-va ca v-ati configurat computerul sa porneasca direct de pe hard-disk, nu de pe floppy sau de pe CD-ROM drive;

· Instalati numai programe originale;

· Scanati de virusi toate programele noi;

· Fiti precauti cu macro-urile, in special in cazurile cand nu e nevoie de ele;

· masura de precautie este utilizarea optiunii "read only" pentru toate fisierele din retele;

· Utilizati un program AV original, mentineti-l la zi si solicitati furnizorului de servicii de securitate toate informatiile necesare;

· Nu deschideti fisierele primite pe instant messenger, fara a le scana. Incercati sa intrebati pe cel care v-a transmis fisierul, daca intr-adevar a avut aceasta intentie, deoarece virusii au abilitatea de a se transmite singuri, fara stirea utilizatorului.

Capitolul 3

Programe dedicate publicitatii nedorite pe e-mail si a falsificarii adreselor : Spoofers, Spammers, Servere SMTP dedicate SPAM-ului, Open Relay Servers

POPA ANDREI

The right to be heard does not automatically include the right to be taken seriously. (Hubert H. Humphrey)

3.1 Introducere

Dezvoltarea retelei mondiale a Internetului a creat noi si viabile oportunitati de afirmare pentru cei ce sunt conectati la ea. De la simple opinii pana la dezbateri oficiale si tratate stiintifice, factorul uman este definitoriu pentru informatia care circula pe Internet. Perceput din ce in ce mai mult ca un mediu alternativ pentru majoritatea activitatilor de zi cu zi (divertisment, relatii interpersonale, informare, etc) Internetul a devenit un element esential al propagarii, recomandandu-se ca cea mai la indemana cale de promovare a ideilor si de influentare a maselor.

Interesele financiare, care se contureaza in orice este atractiv pentru om, si-au gasit rapid sursele si metodele in spatiul virtual. Publicitatea de orice fel, promovand produse, servicii si chiar bunuri virtuale, este intr-o competitie acerba pentru acapararea de clienti, deseori sub forma de abonati.

Strategiile de publicitate in Internet pornesc de la simple enunturi in format text, la imagini prezente pe paginile web, hiperlink-uri cu trimitere catre sursa de informare, pana la mesaje prin posta electronica expediate direct utilizatorului.

Ca orice mediu de consum, reteaua mondiala a Internetului este guvernata de legi ce feresc utilizatorul de accesarea sau primirea de informatii cu caracter ilegal sau de interes restrans, sau informatii ne-solicitate de acesta.

3.2 Spam-ul

SPAM-ul defineste abuzul mijloacelor electronice de comunicare, cu scopul de a distribui mesaje nesolicitate. De obicei termenul este atribuit distribuirii de mesaje pe calea postei electronice, insa notiunea de spam include mai mult de atat: spam pe calea mesageriei instant, spam in cadrul grupurilor de stiri, in rezultatele motoarelor de cautare, in cadrul forumurilor de discutii sau in cadrul blogurilor.

Spam-ul distribuit pe calea postei elecronice este de cele mai multe ori cunoscut ca unsolicited bulk email (mesaj in masa nesolicitat) sau unsolicited commercial spam (mesaj comercial nesolicitat).

Majoritatea mesajelor catalogate „spam” au caracter comercial, facand referire la produse sau servicii, oferte speciale sau abonarea contra-cost la site-urile pe care le promoveaza.

Adresele de email la care este trimis mesajul nesolicitat sunt extrase de pe site-uri cu continut public, unde datele utilizatorilor inscrisi sunt vizibile. Majoritatea site-urilor au o politica de aderare prin care viitorul utilizator semneaza o polita conform careia este de acord cu primirea de oferte sau noutati pe adresa sa de email, din partea celui cu care a semnat acordul.

Pot interveni situatii in care alte site-uri, afiliate primului, trimit mesaje utilizatorului, care nu a aderat in mod direct la acestea din urma. Este unul din cazurile in care severele firmelor ce ofera servicii de posta electronica actioneaza diferit, fie catalogand expeditorul ca spam, fie acordand credit acestora si oferind pe baza anumitor criterii (de subdomeniu comun, de politica similara) posibilitatea de a trimite mesajele in Inbox-ul destinatarului.

Un studiu realizat pe o perioada de 6 luni de catre Center of Democracy and Technology prezinta printre altele o statistica referitoare la modul de obtinere al adreselor de posta electronica la care sunt trimise mesaje nesolicitate:

Se observa conform diagramei ca marea majoritate a spam-ului prin intermediul postei electronice se datoreaza publicarii adreselor de email pe site-uri accesibile oricarui utilizator al internetului. Colectarea adreselor se face folosind soft-uri dezvoltate in acest scop, numite Spam Bots (roboti pentru spam) care intocmesc liste cu adrese de mail. Versiunile noi de spam bots clasifica adresele colectate in functie de specificul site-ului de pe care au fost extrase acestea pentru a expedia un continut care sa corespunda pe cat posibil domeniului de interes al unui anumit destinatar.

O alta metoda de manifestare a ceea ce se numeste spam este data de continutul paginilor web si tehnicile la care administratorii unor site-uri recurg pentru a aparea in rezultatele motoarelor de cautare si a aduce navigarea pe paginile dorite de acestia. In cele mai multe dinre cazuri acestea se dovedesc a fi pagini total diferite ca si continut fata de ceea ce este prezentat in descrierea sumara a rezultatului din motorul de cautare, realizand asa-numitul SEO Spam. (SEO – Search Engine Optimization)

SEO Spam-ul include o multitudine de metode si tehnici ce sunt permanent imbunatatite si schimbate din cauza update-urilor facute de administratorii motoarelor de cautare, update-uri menite sa elimine din rezultatele cautarii paginile ce prezinta simptomele spam-ului.

Metodele de realizare ale SEO Spam-ului sunt:

· Textul menit sa apara in motoarele de cautare este ascuns pe pagina prin utilizarea aceleiasi culori atat pentru caractere cat si pentru fundal (ex. alb pe alb , negru pe negru). Textul este ascuns fiindca observarea lui de catre vizitatorul paginii are efecte negative in credibilitatea site-ului. Motoarele de cautare moderne ca Google elimina din rezultate site-urile care folosesc acest tip de spam, prin analiza codului HTML si implicit a culorilor folosite pentru text si fundal.

· Link farm (ferma de legaturi) defineste o retea de site-uri care redirecteaza vizitatorul catre o anumita pagina, comuna. Aceste legaturi multiple sunt luate in evidenta separat de catre motorul de cautare, rezultand in afisarea multor rezulate catre acelasi punct.

· Cuvinte cheie sau tag-uri (etichete) fara legatura cu informatia publicata. Un articol sau un continut dinamic care prezinta sub titlu cuvinte cheie de larg interes si cautare dar fara legatura cu restul informatiilor sau imaginilor poate fi considerat spam si exclus din motoarele de cautare.

· Duplicarea site-urilor. Copii identice ale unui site gazduite pe alte domenii sunt sanctionate in Google cu stergerea definitiva din lista de rezultate a respectivelor adrese web.

· Fontul de dimensiuni foarte mici, imposibil de citit poate fi considerat un mijloc de spam, dat fiind ca textul poate descrie cu totul alte materiale sau informatii decat cele prezentate in paginile unde este prezent si poate constitui un fals rezultat in motorul de cautare.

· IP Spam. Este o tehnica moderna de spam ce pune in prezent probleme serioase administratorilor motoarelor de cautare. Metoda consta in detectarea adresei IP a vizitatorului si generarea continutului in functie de aceasta adresa. Astfel scriptul permite afisarea unui anumit continut in cazul in care este detectata adresa IP a serverului de pe care functioneaza sistemul de indexare al Google, un continut adecvat si atractiv in topul cautarilor. Detectand o adresa care nu apartine niciunei clase de IP-uri nedorite scriptul genereaza continutul dorit de initiatorul spam-ului, cu reclamele si linkurile aferente. Aceasta tehnica poate fi greu detectata de catre search bots (robotii de cautare), ea este raportata de cele mai multe ori de catre vizitatorii ce au descoperit un continut total diferit de cel prezent in rezultatul cautarii.

· Pagini Doorway. Sunt paginile in care este prezent cod si continut preferat de robotii de spam, asadar sunt pagini menite sa atraga vizitatori virtuali. Fiecare accesare pe care un spam bot o face, nu se poate considera altfel decat o incrementare a numarului de vizitatori deci scopul este din nou atins.

Cele mai ingenioase tactici folosite de catre spammeri sunt intalnite in URL Spam si sunt cea mai directa cale catre pagina tinta. URL Spam-ul consta in modificarea legaturii hipertext astfel incat aceasta sa apara ca descriind cu totul alta destinatie. Printre tehnicile de URL Spam se numara:

· Adresa IP zecimala. Des intalinta sub forma unei adrese de mail gen exemplu@123456789, nu este altceva decat o adresa IP pe care sistemul o recunoaste, cu singura deosebire ca aceasta este reprezentata in zecimal. Conversia acesteia in hexazecimal urmata de impartirea in grupuri de cate 2 cifre si reconvertirea lor 2 cate 2 in zecimal va scoate la iveala adresa de IP in reprezentarea standard.

· Adresa in hexazecimal. Metoda similara cu adresa in zecimal. Usor detectabila prin prezenta obligatorie a caracterelor “0x” la inceput.

· “Escaping”. Metoda prin care URL-ul este convertit intr-un format recunoscut de browser astfel incat fiecare litera a adresei apare sub forma semnului % urmat de o valoare in hexazecimal. Ex "http://%2E%2E%2E%48%20%18%32%2F%48...". se poate observa ca in bara de status a browserului, sirul din exemplul de mai sus este convertit si afisat normal.

· In browserele dezvoltate, username-ul si parola pentru autentificarea la unele site-uri pot fi transmise prin adresa URL. Astfel o adresa de genul http://username:password@www.website.com realizeaza autentificarea in cadrul www.website.com cu numele de utilizator “username” si parola “password”. Spam-erii se folosesc de aceasta facilitate si creaza pe site-urile tinta conturi cu nume de utilizator convenabil pacalirii victimei. O autentificare cu numele „www.microsoft.com” si parola „software” pe site-ul malitios hackers.com se poate transcrie sub forma de hiperlink in http://www.microsoft.com:software@hackers.com, o adresa indeajuns de bine pusa la punct pentru a insela chiar si o persoana in cunostinta de cauza dar neatenta.

· Utilizarea scriptului java face posibila afisarea in bara de status a unui link total diferit de catre cel la care browserul va fi directionat. Este folosit in special pentru hiperlink-urile aplicate imaginilor. Astfel, pozitionand cursorul mouse-ului asupra unei imagini care ne va trimite la adresa www.spammers.com se poate afisa in bara de status o cu totul alta adresa (ex http://www.microsoft.com) sau un text (ex Free Drivers Download)

Celelalte ramuri ale spam-ului au la baza una din cele 3 tipuri principale prezentate mai sus. Fie ca adresele de email sunt colectate din forumuri de conversatii sau grupuri de stiri, fie ca link-urile sunt trimise prin mesageria instant urmate de descrieri atractive, fenomenul spam-ului se propaga prin orice poarta deschisa comunicarii publice.

O prima privire asupra beneficiilor rezultate in urma spam-ului nu poate constata decat permanenta dorinta de atragere a vizitatorilor. In realitate, ceea ce are relevanta pentru administratori nu este cota de popularitate a site-ului ci numarul de vizitatori in sine, numar care se traduce in venituri de pe urma reclamelor afisate pe site. Cum vizitatorii ajung involuntar pe site-ul promovat prin spam, nu se poate vorbi de o fidelizare a acestora, asadar se pune in permanenta problema atragerii noilor vizitatori, elementul cel mai important. Asemeni unei firme pentru care factorul important si definitoriu este cifra de afaceri, numarul de vizitatori unici este indicatorul esential. Spam-ul ofera, prin natura sa, cel mai mare procent de vizitatori unici din numarul total de vizitatori pe parcursul unei zile.

Daca precautiile in cazul URL Spam-ului si SEO Spam-ului pot fi luate numai de catre cei care recunosc unele elemente sau cei care intuiesc din experienta posibila directionare falsa, primirea spam-ul prin e-mail poate fi prevenita si diminuata usor de catre orice utilizator al Internetului. Astfel, in cazul necesitatii publicarii adresei personale de e-mail pe un site accesibil oricui, se poate recurge la mutilarea adresei din „email@mysite.com” in „email [at] mysite.com”, forma pe care robotii de spam nu o cauta, fiindca nu contine simbolul “@”. O alta metoda de publicare a adresei de posta electronica este cea printr-o imagine care ilustreaza textul email@mysite.com ce nu poate fi inregistrata de softurile cu caracter spam fiindca nu apare sub forma de caractere.

3.3 Spoofing

Spoofing-ul se refera la mesajele email care aparent sunt trimise dintr-o anumita sursa dar care provin defapt de la o alta adresa. Scopul spoofing-ului este de a trimite mesaje cu o adresa de expeditie falsa si sub un nume fals, pentru ca expeditorul sa nu poata fi urmarit.

Deseori spoofing-ul este folosit in asa numitul “social engineering” (inginerie sociala). Acest termen este asociat incercarilor de inselare a destinatarului pentru a obtine informatii cu caracter personal, ca de exemplu mesaje din partea bancii solicitand PIN-ul cardului si datele clientului pe motivul reorganizarii bazei de date.

O actiune de spoofing bine organizata directioneaza utilizatorul catre o pagina care copiaza bine interfata site-ului original, insa colecteaza informatiile de autentificare spre folosirea lor neautorizata.

Programele create in scopul spoofing-ului folosesc metode de la cele mai simple si usor detectabile pana la cele care nu lasa foarte multe urme, greu de depistat.

Tehnica de baza in spoofing consta in modificarea numelui expeditorului si a adresei acestuia. Multe dintre soft-urile dedicate spoofing-ului se opresc aici desi acesti pasi se pot face foarte usor si in aplicatia Outlook Express oferita de Windows, prin modificarea a doua campuri. Fiind o metoda usor de realizat este totodata si o metoda usor de depistat. Studiind datele de header ale mesajului primit se poate identifica foarte usor adevarata adresa de la care s-a facut expedierea, precedata de termenii “Received: from ...“. Se poate aplica numai in cazul serverelor SMTP (Simple Mail Transfer Protocol) care nu necesita autentificare

3.4 Open Relay Servers

Metodele avansate de spoofing se folosesc de servere cu legaturi deschise (Open Relay Servers). In acest caz, header-ul mesajului electronic nu mai arata efectiv adresa de la care s-a expediat mail-ul, ci doar o adresa SMTP a unui server ce a intermediat expedierea. In marea lor majoritate sunt sisteme pe care instalarea si configurarea serverului de email a fost facuta gresit sau incomplet, lasand anumite brese. Aceste brese permit legaturi email de tip terta-parte (third-party) intre spammer si destinatar, prin intermediul serverului in care apar, in mod neautorizat si fara stiinta utilizatorului local.

Inainte de putea stabili serverul victima care intermediaza expedierea, spammerii scaneaza adrese IP, la intamplare sau cunoscand un interval de IP-uri ce poate returna mai multe rezultate, pentru a detecta porturile deschise specifice unui server de mail unde se poate face infiltrarea.

La nivelul serverelor vulnerabile si expuse spoofing-ului se pot produce defectari sau intreruperi in functionare – DDoS (Distributed Denial of Service) - , pierdere a datelor stocate si cel mai probabil catalogarea ca Spam din cauza continutului mesajelor pe care le intermediaza. Toate acestea aduc prejudicii financiare majore firmelor care le detin. Restaurarea si repunerea lor in functionarea normala necesita mult timp si costuri considerabile la care se adauga pierderile din imposibilitatea de primire a email-urilor pe toata perioada dintre atac si finalizarea reparatiilor.

Aceste servere expuse spoofing-ului care permit propagarea spam-ului, se numesc SPAM Servers (Servere de Spam). Ultimele rapoarte arata ca peste 70% dintre serverele de spam se afla pe teritoriul Chinei.

Odata ce sunt detectate ca fiind servere de spam, adresele lor sunt clasificate si publicate in liste de spam, in functie de metodele si modul de manifestare al fiecaruia. Printre cele mai ample liste de Spam Server se numara:

· RBL Realtime Blackhole List - toate serverele din aceasta lista pot fi catalogate direct ca spam.

· RSS Relay Spam Stopper – lista cu servere cunoscute ca fiind Open Relay, care accepta email din partea oricarui utilizator si permit trimiterea catre orice utilizator.

· SBL Spamhaus Block List – o baza de date care indexeaza in timp real adrese IP din surse verificate de spam.

· Brightmail – este un sistem ale carui reguli si metode de detectare a spam-ului sunt mereu imbunatatite, poate fi considerat un pionier in descoperirea noilor servere de Spam. Sistemul este sub administrarea Symantec, care opereaza prin intermediul unui “centru de spam” 24 de ore pe zi, trimitand rezultatele permanent sistemului de filtrare Brightmail.

Pentru a creste rata de succes a spam-ului, atacatorii se folosesc deseori de aplicatii tip Trioan sau Virus care, odata ce-si gasesc o gazda intr-un sistem, ruleaza un proces ce trimite mesajele malitioase serverelor de spam. Astfel se face o automatizare a procesului de spam si totodata introducerea unui intermediar intre atacator si server, intermediar ce face si mai dificila gasirea sursei mesajelor.

3.5 Bibliografie

Informatiile care descriu detalii pur tehnice, elementele grafice si referirile la studii si statistici au fost culese din:

http://www.gregsearle.com/spam_tech.html

http://www.lse.ac.uk/itservices/help/spamming&spoofing.htm

http://www.cdt.org/speech/spam/030319spamreport.shtml

http://www.cert.org/tech_tips/email_spoofing.html#Introduction

http://www.datastronghold.com/security-articles/general-security-articles/how-to-spoof-an-email-without-software.html

http://www.menandmice.com/9000/9221_mail_relay.html

http://www.windowsecurity.com/articles/Email-Spoofing.html

http://status.hiwaay.net/spam.html

http://wisegroup-llc.com/software.php

Exlicatiile metodelor SEO Spam-ului si implicatiile acestora, cat si concluziile exprimate de-a lungul referatului sunt consecinte ale experientei proprii in activitatea de web design si web development.

Capitolul 4

Atacuri asupra retelelor wired si wireless : Sniffere, Placi de retea cu „Promiscuous Mode” (MAC Nedefinit), Interceptare, Atacuri Brute-Force, Spargerea criptarii WEP pe wireless, Flooding

RADU CRISTIAN

4.1. Introducere

Securitatea in retele de calculatoare incepe sa fie din ce in ce mai mult luata in serios in ultima perioada. Motivul pentru aceasta tendinta este bineinteles numarul mare de atacuri. Ca exemplu, in Statele Unite, timpul mediu de atac al unui calculator care nu este protejat este de doua ore. In afara de faptul ca numarul de atacuri a crescut ingrijorator de mult in ultima perioada, informatia digitala devine din ce in ce mai valoroasa pentru un atacator (numere de carti de credit, informatii confidentiale, tranzactii bancare) astfel incat acesta este dispus sa investeasca mai mult timp si bani pentru a capata acces la aceste informatii. Solutia folosita pana nu de mult, era ``baricadarea'' informatiilor confidentiale in fortarete impenetrabile pentru oricine. Astfel, era comun pentru o companie mare sa pastreze informatiile confidentiale pe un mainframe la care accesul se putea face doar din sala de terminale. Mai tarziu, au aparut retele de calculatoare locale, dar ele erau izolate de exterior, astfel incat securitatea in acele retele de calculatoare se implementa printr-o politica extrem de severa de pedepsire a celor vinovati (concedierea sau intentarea unui proces celui vinovat erau masurile cele mai des folosite). O data cu aparitia Internetului insa, lucrurile s-au schimbat. Companiile au inceput sa isi dea seama de avantajele folosirii Internetului ca piata de desfacere (e-bussiness), sau ca mijloc de comunicare cu alte companii pentru a oferi servicii complete clientului (bussiness to bussiness). Din acel moment insa, retelele de calculatoare au incetat sa mai fie forturi impenetrabile, trebuind sa-si deschida portile astfel incat compania sa poata ramane competitiva.

Implementarea securitatii intr-o retea de calculatoare cuprinde trei aspecte importante: confidentialitatea, integritatea si disponibilitatea. Confidentialitatea reprezinta calitatea unei retele de a asigura accesul la informatie doar persoanelor autorizate. Integritatea garanteaza faptul ca informatia nu a fost modificata de persoane neautorizate. Disponibilitatea poate fi definita ca timpul in care reteaua de calculatoare si resursele din cadrul ei sunt operationale.

Pentru fiecare din aceste aspecte ale securitatii retelelor de calculatoare exista atacuri, astfel incat securizarea unei retele de calculatoare trebuie sa implementeze fiecare din aceste aspecte, ceea ce nu este un lucru trivial. Cel care o implementeaza se confrunta cu probleme complexe:

identificarea, autorizarea si monitorizarea activitatii utilizatorilor

securizarea perimetrului retelei

asigurarea confidentialitatii si integritatii datelor

monitorizarea retelei

managementul echipamentelor si infrastructurii de securitate.

Exista doua cauze majore ce pot constitui amenintari pentru o retea de calculatoare, chiar dupa ce a fost implementata o politica de securitate corecta: vulnerabilitati (probleme cauzate de tehnologie) si o configurare necorespunzatoare. Vulnerabilitatile sunt probleme ale sistemelor de operare, protocoalelor TCP/IP, dispozitivelor de retea prin care un atacator poate accesa reteaua fara a respecta politica de securitate implementata.

Chiar daca vulnerabilitatile sunt problemele cele mai grave si mai greu de controlat, trebuie insa notat ca cele mai multe probleme apar datorita configurarii incorecte sau definirii unei politici de securitate necorespunzatoare.

4.2. Atacuri asupra retelelor de calculatoare

Atacurile asupra unei retele de calculatoare pot fi clasificate in atacuri interne sau externe si in atacuri structurate sau nestructurate. Atacurile externe sunt efectuate din afara organizatiei (din punctul de vedere al retelei). Atacurile interne sunt efectuate din reteaua organizatiei. Aceste atacuri sunt extrem de eficiente, pentru ca, in general, odata patruns intr-un segment al retelei organizatiei este usor sa se obtina acces in alte segmente ale acesteia. Putine organizatii folosesc dispozitive de securitate in cadrul retelei interne.

Atacurile nestructurate sunt atacurile care sunt initiate de indivizi neexperimentati ce utilizeaza exploit-uri disponibile pe Internet. Exploit-urile sunt programe ce exploateaza vulnerabilitatile pentru a ocoli politica de securitate implementata intr-o retea.

Chiar daca de cele mai multe ori aceste atacuri nu vor decat sa dovedeasca capacitatile de hacker ale unui individ, ele pot produce pagube materiale sau morale. Ca exemplu putem lua unul din multele cazuri in care site-ul web al organizatiei a fost spart, si au fost postate mesaje triviale sau care au diminuat imaginea organizatiei. Pe de alta parte, atacurile structurate sunt initiate de indivizi mult mai bine motivati si cu cunostinte tehnice competente. Acesti indivizi cunosc vulnerabilitati de sistem si le pot folosi pentru a capata acces in retea, pot detecta noi vulnerabilitati de sistem si pot dezvolta cod si scripturi pentru a le exploata.

Un atac trece in general prin trei faze: faza de recunoastere, faza de obtinere a accesului si (eventual) faza in care sistemele compromise sunt folosite pentru a ataca alte retele. Faza de obtinere de acces poate eventual fi formata din doua etape: una in care atacatorul obtine acces in cadrul retelei pe una din masinile din retea prin exploit-uri de la distanta si faza in care, daca este cazul, obtine acces privilegiat pe masina respectiva cu ajutorul unor exploit-uri locale.

Una dintre cele mai sigure metode de obtinere a accesului privilegiat este a sparge parola. Acest lucru presupune ca atacatorul are deja acces pe o masina din retea si doreste acces privilegiat (root, Administrator).

4.2.1. Atacul in forta (“Brute-Force”)

Multe sisteme criptografice nu au puncte vulnerabile cunoscute (cel putin pana acum); in aceasta situatie singura modalitate ramane un astfel de atac care consta in incercarea tuturor codurilor posibile, a combinatiilor sau a cheilor pentru a gasi pe cea corecta si a decripta mesajul.

Acest mod de lucru se dovedeste foarte dificil in multe cazuri datorita mai multor factori:

• lungimea cheilor;

• cate valori pot lua cheile;

• cat va dura derularea incercarilor.

O intrebare naturala care se ridica este: cat va dura un astfel de atac? Raspunsul depinde nu numai de factorii enuntati anterior (lungimea cheilor si spatiul valorilor posibile) ci si de puterea de calcul disponibila atacatorului (sau criptanalistului). Deoarece atunci cand proiectam un sistem criptografic, dorim sa-l facem utilizabil pentru multi ani, trebuie sa estimam evolutia puterii de calcul. Ajutorul vine din partea lui Gordon Moore, unul din fondatorii firmei Intel, care a estimat ca viteza de calcul se dubleaza la fiecare 18 luni (iar costul se injumatateste). Aceasta estimare s-a dovedit reala si a devenit cunoscuta ca ”legea lui Moore”.

Un astfel de atac presupune trecerea prin tot spatiul cheilor fara a selecta in vreun fel cheile neobisnuite care nu merita testate; in acest sens exista atacuri care folosesc diferite tipuri de selectii (a se vedea atacul de tip dictionar). Atacul in forta garanteaza acoperirea tuturor posibilitatilor si deci in final un succes (abstractie facand de timpul necesar!)

4.2.2. Atacul de tip dictionar

Atacul de tip dictionar este o metoda criptanalitica in care atacatorul pregateste si memoreaza un tabel cu corespondente text clar-text criptat de tipul perechilor (PiCi=EKi(P),Ki) sortate dupa Ci; pentru textele in clar se folosesc cuvinte foarte probabile (exemple: parola, login), iar cheile acopera toate variantele posibile.

Ulterior atacatorul monitorizeaza comunicatia si in momentul in care va gasi un text criptat Cj care se regaseste in tabelul sau va gasi imediat cheia de criptare Kj.

Acest termen de atac de tip dictionar se mai foloseste si in domeniul gasirii parolelor, cu o semnificatie putin diferita; in acest caz el se dovedeste destul de eficient (mai eficient decat un atac in forta) in special in cazul incercarilor de a gasi parole de acces (tendinta este de a folosi cuvinte pentru parole); in cazul sistemelor care folosesc fraze in locul cuvintelor cu rol de parola eficienta atacului devine neglijabila. In practica se folosesc doua metode pentru a mari eficienta atacului:

• prima metoda recomanda folosirea mai multor dictionare care maresc sansa de a gasi parola corecta (dictionare de limbi straine, tehnice, etc.);

• a doua metoda recomanda operatiuni asupra sirurilor de caractere din dictionar: testarea cuvintelor scrise pe dos (parola – alorap), inlocuirea unor litere cu cifre (ex: p4ar0la), folosirea unor litere mari (ex: parola – Parola, PAROLA).

4.2.3. IP spoofing

IP spoofing este o metoda de atac, dar poate fi folosita si pentru a ascunde identitatea atacatorului sau pentru a lansa atacuri. Prin acest atac, pachetele TCP/IP sunt manipulate, falsificand adresa sursa. In acest mod atacatorul poate capata acces atribuindu-si o identitate (adresa de IP) care are autorizare sa acceseze resursa atacata. Datorita falsificarii adresei sursa a pachetului IP, atacatorul nu poate stabili decat o comunicatie unidirectionala (presupunand ca nu este prezent in reteaua locala a masinii atacate). Acest lucru face protocolul TCP nesusceptibil pentru asemenea atacuri. Exista insa numeroase servicii UDP care pot fi exploatate cu acest tip de atac.

4.2.4. IP sniffing

Interceptarea retelei (IP sniffing) este o metoda de monitorizare a datelor care circula printr-o interfata de retea – se pot detecta parole transmise necriptate. Atacul provine din interior. Pentru retele de viteza mare (100 M/s) unele pachete nu pot fi captate de sniffer. Software-ul interceptor trebuie supravegheat. Exemple: tcpdump, Wireshark.

4.2.5. Promiscuous mode

Dupa cum se stie placile de retea, cum sunt cele Ethernet, captureaza la nivelul data-link doar frame-urile adresate lor sau cele de broadcast. De aceea pentru a captura toate frame-urile, exista programe care reusesc sa treaca interfata intr-un mod special de lucru, numit promiscuous mode. Tcpdump este un astfel de program destinat monitorizarii traficului in retea si achizitionarii de date. A fost initial dezvoltat de un grup de cercetare in cadrul Lawrence Berkeley National Laboratory al Universitatii din California in iunie 1992.

4.2.6. Atacul de tip flood

Atacul flood se constituie din trimiterea intentionata sau neintentionata a unui numar mare de pachete IP catre o anumita destinatie din reteaua Internet si are ca scop blocarea accesului respectivei destinatii la reteaua Internet.

4.3. Metode de securizare a retelelor Wireless

In ce masura este posibila dezvoltarea unei retele wireless LAN securizata pe baza tehnologiilor din ziua de astazi? Aceasta problema preocupa, in ultimul timp, tot mai mult persoanele din cadrul departamentelor IT, ale caror eforturi de dezvoltare au fost stopate din cauza problemelor referitoare la securitate.

4.3.1. Wired Equivalent Privacy (WEP)

WEP, primul algoritm de securizare a retelei wireless, este relativ slab din punct de vedere al valorii, in cadrul multor produse si nu e recomandat spre folosire, decat in cazuri de forta majora. WEP prezinta multe dezavantaje; unul dintre cele mai frecvente referindu-se la optiunile de administrare.

Fiecarui utilizator ii este asociata o cheie, un anumit cod de transmisie. Ulterior, oricine cunoaste acest cod secret poate accesa informatiile in locul userului titular, compromitand securitatea retelei si a datelor personale. In urma verificarilor realizate de-a lungul a mai multor ani, se estimeaza ca modalitatile de recuperare a acestor "key access" de catre hackeri va deveni un lucru foarte des intalnit.

Succesorul optiunii WEP il constituie algoritmul WPA (Wi-Fi Protected Access) si reprezinta un pas inainte in conditiile in care este combinata cu protocolul de autentificare 802.1X. In scopul asigurarii unei securitati cat mai mari, multi operatori au incorporat in definitia de high security, un proces de selectare a acestor coduri de acces mai lungi decat dimensiunea standard de 104 biti. Aceste aspecte au si puncte pozitive gandindu-ne la faptul ca este greu de crezut ca se va gasi cineva sa incerce "spargerea" unui astfel de cod. Solutia WEP nu este asadar cea mai buna solutie daca luam in calcul securitatea unei retele wireless.

4.3.2. WPA (Wi-Fi Protected Access)

WPA reprezinta dezvoltarea securitati retelelor wireless. Majoritatea producatorilor de echipamente wireless, ingrijorati de faptul ca solutiile WEP nu ofera siguranta de care avem atata nevoie, au trecut la adoptarea variantei WPA. La baza acesteia a stat un test al standardului IEEE 802.11, la care s-au adaugat cateva componente auxiliare implementate, cum ar fi criptarea AES. Din punctul de vedere al securitati, WPA prezinta cateva imbunatatiri, comparativ cu variantele anterioare.

Cea mai semnificativa are in vedere protocolul de criptare folosit. WPA foloseste pentru aceasta varianta TKIP, care are la baza acelasi algoritm, RC4, la fel ca si solutia WEP. Odata cu implementarea protocolului WPA se imbunatatesc si aspectele de integritate referitoare la platforma 802.11, prin care devine, virtual vorbind, imposibil a se insera mesaje intr-o conversatie, sau de a modifica un mesaj transmis pe traseul emitator-receptor.

O alta imbunatatire adusa de WPA are in vedere generarea codului de criptare. De fiecare data cand o statie de lucru este asociata retelei, se genereaza o noua cheie de criptare, care se bazeaza pe o sesiune de numere care sunt generate aleator, pe baza adresei MAC a statiei si pe baza punctului de acces.

Din pacate, pe cat de simplu este sa folosesti solutiile WPA, pe atat de mare este pericolul ca aceasta sa cedeze, in urma utilizarii. In momentul in care autentificarea 802.1X nu este folosita in cadrul WPA, este utilizata de sistem optiunea PSK (PreShared Key).

Practic, PSK genereaza o parola cu folosire indelungata care trebuie sa fie cunoscuta de toti userii care se conecteaza in cadrul retelei WLAN. In momentul folosirii combinatiei WPA-PSK, utilizatorul este susceptibil de a fi supus unui atac asupra pachetelor de date transmise.

O data ce atacatorul reuseste sa identifice aceasta parola de acces, el poate accesa sau parasi reteaua WLAN oricand, poate sa acceseze orice informatie doreste. Aceste tipuri de atacuri pot fi inlesnite de modul de alegere a parolei de acces.

Pentru a preintampina aceste atacuri nedorite, este necesar ca utilizatorii sa isi cripteze informatiile in urma conectarii wireless intr-un limbaj hexadecimal pe 64 de digiti. Cu toate acestea, putini sunt cei care folosesc o asemenea criptare, astfel incat pericolul este cu adevarat real.

4.3.3 Atacuri asupra retelelor wireless

Exista diferite tipuri de atacuri care pot afecta o conexiune wireless, printre care putem enumera:

o Atacuri pasive care reprezinta captarea pachetelor tranzitate si decodarea lor;

o Atacuri active care reprezinta injectarea de pachete de date in traficul retelei de la o statie neautorizata;

o Atacuri active prin decriptarea traficului efectuat intr-un Acces Point;

o Atacuri inteligente care reprezinta elaborarea unui plan de decriptare, astfel reusindu-se decriptarea in timp real a traficului intre doua echipamente wireless.

Cum vom proceda pentru a ne feri de posibilele atacuri externe si de persoanele nepoftite care vor incerca sa se conecteze la reteaua noastra?

1. In primul rand trebuie sa tineti cont de denumirea computerului sau access point-ului care va asigura conexiunea. Echipamentele in momentul achizitionarii au un nume implicit, numit SSID (Service Set Identifier) sau ESSID (Extended Service Set Identifier). Din aceasta cauza este foarte usor pentru un hacker sa intuiasca acest nume si este absolut necesar sa il schimbati. Insa ID-ul (identifier) pe care il alegeti nu trebuie sa fie un nume comun, ca de exemplu numele dumneavoastra. Este mult mai bine daca ati alege o denumire unica, greu de intuit.

2. Activati algoritmii de criptare WEP (Wired Equivalent Privacy) sau WPA (Wi-Fi Protected Access) a pachetelor ce sunt transmise intre computere sau intre computere si access point. Algoritmii de criptare a datelor vor codifica pachetele transferate, protejandu-le astfel impotriva celor care au posibilitatea de a le intercepta. Se stie ca algo