Securitatea calculatorului
De exemplu,
problema anului 2000 a aparut datorata reprezentarii anilor
numai prin ultimele doua cifre putând astfel genera confuzie între anul
2000 si 1900 împreuna cu toate consecintele legate de calculele
matematice ce implicau durate în timp si care puteau avea rezultate
negative sau incorecte. Prescurtata "Y2K" de la Year 2000,
problema a luat repede amploare, trecând de la "problema" la
"bug" si apoi la "virus" în mod incorect, deoarece
aceasta denumire încalca definitia unui virus informatic.
Pâna la urma, s-a constatat ca numarul sistemelor afectate
de aceasta problema nu era chiar atât de mare, nu functionau în
segmente critice ale economiei si societatii, iar mult temuta
noapte de revelion a anului 2000 nu a declansat al treilea razboi
mondial sau colapsul societatilor superdezvoltate. În schimb, nivelul
de audienta al mass media a fost foarte puternic influentat de
gradul de mediatizare al problemei Y2K timp de mai multi ani; unele companii,
cum ar fi cele producatoare de generatoare de curent electric pe
carburanti fosili, sau constructoare de buncare antiatomice
subterane, au câstigat sume fabuloase exploatând naivitatea oamenilor în
fanteziile debitate de toate canalele de televiziune si ziare.
Un alt exemplu: virusul Michelangelo, denumit astfel
deoarece îsi declanseaza efectele nefaste în data nasterii
faimosului vizionar Michelangelo Buonaroti, a fost pastrat la ordinea
zilei multi ani dupa ce vi 13413q166n rusul a disparut, fiind sugerata
chiar neutilizarea calculatorul în ziua respectiva, o solutie evident
aberanta prin faptul ca tragea un semnal de alarma asupra
unei situatii cvasi-inexistente, nu înlatura cauza problemei, si
amâna solutionarea ei pentru anul urmator.
În realitate, metodele de protejare împotriva virusilor
si hackerilor sunt numeroase, usor de pus în practica si
gratuite de multe ori. Cheia este informarea corecta din surse IT, nu din
mass media care în mod repetat a dovedit o ignoranta crasa
si o lipsa a specialistilor din domeniul informatic. Sper ca,
dupa parcurgerea acestui articol-ghid de securizare a calculatorului,
sa zâmbiti fara griji când stirile din întreaga lume
anunta un nou virus distrugator ce a fost lansat.
Germeni electronici
Un virus biologic urmareste trei principii pentru a-si asigura perpetuarea existentei: infectarea, multiplicarea, raspândirea; inteligenta lui este în schimb aproape nula, fiind programata de un cod ADN redus. Un virus informatic este un program (secventa de instructiuni) care, odata ajuns pe un calculator, se asigura ca se va activa la fiecare pornire a lui si se va ascunde cât mai bine între sutele de fisiere de pe hard disk. Apoi va încerca sa infecteze si alte calculatoare, sau sa execute anumite comenzi distrugatoare, cum ar fi stergerea fisierelor. Spre deosebire de virusurile biologice, virusii informatici pot fi dotati cu un grad de inteligenta ridicat, complexitatea instructiunilor facându-i foarte dificil de detectat fara unelte specializate, si permitându-le o gama larga de actiuni, variind de la iritare a utilizatorului pâna la arderea fizica a unor componente din calculator. Se pot distinge mai multe tipuri de virusi frecvent întâlniti:
- virusi vierme (worm), se transmit în principal prin Internet; pot fi primiti prin e-mail, prin vizitarea unor site-uri infectate, sau prin descarcarea si rularea unui program infectat. Acesti virusi vor încerca sa se transmita singuri mai departe spre adresele de e-mail din Address Book sau spre o adresa predefinita, uneori atasând documente confidentiale sau parole de dial-up si e-mail de pe calculatorul victimei. Cei mai cunoscuti virusi din aceasta categorie sunt Love Letter si SirCam. Companiile fara reguli stricte de utilizare a Internetului si fara programe de detectie a virusilor ajung cel mai adesea în situatii neplacute, deoarece virusul s-a propagat în întreaga retea informatica si s-a transmis la sute sau mii de clienti, furnizori, parteneri de afaceri. Un calculator de acasa infectat cu un vierme ar putea expune informatii confidentiale, cum ar fi parole, informatii financiar-bancare, medicale, etc, stocate pe hard disk.
- virusi tip cal troian sau backdoor, care se ascund în interiorul unor alte programe si apoi duc la îndeplinire niste actiuni nedorite, permitând oricarui autointitulat "hacker" accesul deplin la calculatorul infectat prin acea "usa deschisa din spatele casei", de câte ori acesta este conectat la Internet. Tipic pentru un virus troian este de a se instala fara sa atraga atentia, si de a-si face treaba de spionare în mod cât mai discret, pentru ca la un moment dat sa loveasca cât mai puternic si pe neasteptate. Aceasta categorie este înca aprins disputata, de o parte fiind administratorii de retea care pot folosi în mod legitim asemenea programe pentru controlul si administrarea de la distanta mai usoara a calculatoarelor dintr-o retea, iar în tabara adversa fiind persoanele cu intentii rele, ce folosesc virusii troieni pentru a spiona, fura, enerva sau distruge.
Reprezentativi sunt virusii BackOriffice si SubSeven, ultimul fiind creat chiar de catre un român si oferind facilitati superioare chiar si programelor comerciale pentru administrarea de la distanta. Alte exemplare din aceasta categorie au ca scop atacul la comanda prin trimiterea simultana dinspre toate calculatoare infectate a mii de solicitari pe secunda spre un server; acest tip de atac se numeste Distributed Denial of Service (DDoS), si functioneaza într-un sistem arborescent. O persoana rauvoitoare poate trimite în mod anonim mai multor calculatoare intermediare infectate o comanda de atac; aceste calculatoare retransmit comanda spre mii de alte sisteme infectate, ordinul de atac propagându-se si amplificându-se în lant. În scurt timp, mii si mii de calculatoare din întreaga lume, trimit cu cea mai mare viteza posibila solicitari sau pachete de date neinteligibile spre calculatorul tinta, acesta nemaiputând face fata milioanelor de solicitari pe secunda si devenind astfel complet neutilizabil. Un utilizator conectat la Internet cu un calculator infectat nici macar nu îsi va da seama ca o parte din viteza conexiunii lui este folosita de virus pentru a-si aduce contributia la un atac pornit la scara planetara. Un virus ce urmarea un atac tip DDoS a fost Code Red; în codul acestuia era programat un atac asupra sistemelor informatice ale Casei Albe din Washington. Din fericire, inginerii de securitate americani au detectat la timp infectia, iar atacul nu a mai avut loc.
- virusi macro, care sunt de fapt niste functii incluse în
documente Word sau Excel si care se transmit odata cu ele.
Acestia se multiplica la nesfârsit, infectând toate documentele
de pe hard disk si fiind transmisi mai departe odata cu
utilizarea în comun de mai multe persoane a respectivelor fisiere.
Priviti initial ca o curiozitate a puterii limbajelor macro, acesti
virusi nu au cunoscut o dezvoltare chiar atât de exploziva; însa
chiar si putinele exemplare create, au generat prin efectele lor
pagube importante în cadrul organizatiilor ce folosesc în mod extensiv
aplicatiile de birou - companiile.
Conditia pentru ca un calculator sa fie infectat
de un virus este ca el sa fi fost activat (rulat), prin deschiderea
fisierului, documentului sau e-mail-ului purtator. Virusii
continua sa afecteze calculatoarele din întreaga lume mai ales
datorita erorilor din sistemul de operare Windows si programelor de
e-mail care permit executarea lor fara a verifica în prealabil, dar
si din cauza utilizatorilor nepriceputi. Exista o
adevarata industrie a programelor antivirus, din ce în ce mai
complexe si mai inteligente, care monitorizeaza orice fisier
utilizat si orice activitate suspecta a calculatorului.
Protectia oferita nu este, însa, perfecta: unele programe
antivirus nu sunt gratuite, au dificultati în depistarea si
curatarea virusilor noi care nu sunt inclusi în lista celor
cunoscuti, aceste liste trebuiesc actualizate periodic, si nu în
ultimul rând încetinesc sistemul prin rularea lor în permanenta
si verificarea fiecarui fisier accesat, mai ales pe
calculatoarele cu performante mai modeste. Programele antivirus evolueaza
destul de repede, existând la ora actuala si solutii complet
gratuite, sau posibilitatea de a seta antivirusul sa îsi aduca
la zi lista virusilor cunoscuti în mod complet automat si
transparent, iar algoritmii de detectare a intruziunilor sunt tot mai performanti.
Utilizarea unui program antivirus trebuie totusi completata de o
suita de solutii si reguli de utilizare a calculatorului, care
reduc si mai mult riscul infectiilor:
- Niciodata nu deschideti fisierele primite prin e-mail sau descarcate de pe site-uri personale, mai ales daca v-au fost trimise fara solicitarea dumneavoastra expresa, fara a le scana întâi cu programul antivirus. Daca aceasta regula ar fi respectata, cea mai mare parte a cazurilor de virusari de sisteme ar fi eliminata. O solutie convenabila ar fi pastrarea separata, organizata, a fisierelor descarcate de pe Internet care sa fie scanate manual înainte de a fi deschise sau mutate în alta parte.
- Împiedicati Internet Explorer si Outlook de a mai rula automat programele VBS, Visual Basic Script, incluse în pagini web sau e-mail-uri. Exista un program minuscul numit VBProtect, ce poate fi descarcat gratuit de la adresa DeltaBase.nl; copiati-l în directorul Windows, rulati-l si faceti click pe butonul Install. De acum înainte, de câte ori un script VBS, potential virus, va dori sa se activeze de pe o pagina web sau e-mail, VBProtect va va avertiza asupra acestui lucru si va va permite sa selectati continuarea sau oprirea executarii scriptului. Un alt program similar este AnalogX Script Defender, ce poate fi descarcat de la AnalogX.com. În continuare, blocati rularea programelor ActiveX; pentru Internet Explorer, în Control Panel, Internet Options, tab-ul Security, faceti click pe butonul Custom Level, apoi setati pe Prompt (recomandat) sau Disabled (în cazuri extreme) componentele ActiveX; pentru Outlook, în meniul Tools, Options, tab-ul Security, în sectiunea Secure content alegeti zona "Restricted Sites". Dezactivarea componentelor ActiveX va avea însa repercursiuni în afisarea corecta a unor pagini web ce folosesc asemenea scripturi în mod legitim, de exemplu Microsoft.com. Virusii ActiveX sunt foarte putin raspânditi comparativ cu cei VBS, deci nu este stringenta nevoie sa dezactivati complet functionalitatea ActiveX pentru acest lucru.
- Pentru cei ce frecventeaza comunitatea IRC, programele folosite permit filtrarea fisierelor ce pot fi acceptate de la alti utilizatori. Programul mIRC fiind cel mai frecvent folosit, setarile de filtrare în cea mai recenta versiune 6.01 se afla în meniul File, Options, sectiunea DCC Folders, optiunea DCC Ignore; selectati din lista derulanta "Ignore only", ceea ce va bloca primirea fisierelor executabile dar va permite acceptarea tuturor celorlalte fisiere.
- Unii virusi mascheaza fisierele executabile infectate incluzând în numele acestora si o extensie falsa. De exemplu, un virus de pe calculatorul lui badea Ion se va trimite prin e-mail lui badea Vasile cu textul "Yo, check this out" si fisierul atasat denumit cu_oile_la_pascut.jpg.exe. Implicit, Windows ascunde extensiile fisierelor al caror tip este cunoscut, deci .exe nu va apare, iar badea Vasile va crede ca este o fotografie (desi nici la fisierele .jpg în mod normal nu le este afisata extensia), va deschide fisierul si virusul va declansa infectia. Fortati Windows sa afiseze numele complet al fisierelor, în Windows Explorer, meniul View, optiunea Folder options; în noua fereastra, selectati tab-ul View si debifati optiunea "Hide file extensions for known file types".
- Pentru virusii macro, programele Office avertizeaza la deschidere ca fisierul contine macro-uri; alegeti optiunea "Disable macros" pentru a dezactiva virusul. Aceasta operatie nu curata virusul din document; va trebui sa apelati la un program antivirus pentru aceasta.
- Aduceti-va sistemul la zi cu ultimele bug patch-uri Microsoft; detectarea automata a componentelor Windows mai recente ce pot fi descarcate si instalate se face la adresa WindowsUpdate.Microsoft.com, iar pentru suita Office la adresa OfficeUpdate.Microsoft.com. De asemenea, asigurati-va ca aveti mereu ultimele versiuni ale programelor folosite, deoarece erorile exploatate de virusi sunt remediate, si ultimele versiuni ale fisierelor de semnaturi pentru programul antivirus.
- Programele "sparte", modificate în orice mod fata de versiunea originala sau copiile pirat, pot contine virusi si nu ofera garantii asupra functionarii normale; în plus, folosirea acestor programe este si ilegala, din punctul de vedere al legii drepturilor de autor. Ramâne la latitudinea dumneavoastra de a stabili prioritatea acestui fapt.
- Exista unele site-uri ce ofera informatii despre virusi, instructiuni si programe gratuite de curatare individuala a fiecarui virus: NoHack.net, DMSetup.org, BitDefender.com, Symantec.com. De asemenea, pentru depistarea virusilor troieni care circula mult prin IRC, puteti folosi programul shareware The Cleaner de la adresa MooSoft.com.
Angajati-va un paznic
Pentru a
spori securitatea, unele cladiri au la intrare un paznic care
verifica fiecare vizitator unde merge, si noteaza cine si
când a iesit. si calculatorul poate avea un paznic la usa spre
Internet, care sa va protejeze de intrusii din afara
si de spionii din interior; se numeste firewall, si este un
echipament hardware, în cazul corporatiilor si conexiunilor Internet
de mare viteza, sau program ce ruleaza tacut în fundal si
îsi face treaba. Un firewall este un filtru pentru întreaga
comunicatie cu Internet-ul, ce permite sau blocheaza accesul pe baza
unor reguli stabilite de utilizator sau administratorul de retea. E drept
ca unele programe firewall sunt mai performante si ofera mai
multe optiuni ca altele; dar, nici cel mai bun si mai scump firewall
nu are nici o valoare daca regulile de protectie nu sunt configurate
corect.
Programele de acest tip cele mai cunoscute sunt produse de:
ZoneAlarm (gratuit), Kerio Personal Firewall - fostul Tiny Personal Firewall
(gratuit) , SyGate (gratuit), McAfee Firewall (comercial), Symantec (Norton)
Personal Firewall (comercial), Deerfield Personal Firewall (comercial) sau
Deerfield VisNetic Firewall (comercial), BlackIce PC Protection, fostul
BlackIce Defender (comercial), si altii. Fiecare din acestea realizeaza
acelasi lucru, dar prin implementari diferite si diverse nivele
de complexitate. Programul firewall nu poate sa va protejeze prea
bine daca sistemul de operare pe care se bazeaza este plin de
gauri de securitate. Trebuie ca Windows-ul sa aiba instalate
ultimele versiuni de software de comunicatie Dial-Up Networking si
WinSock (nu are legatura cu ciorapii, este prescurtarea de la Windows
Sockets, un socket fiind elementul de baza al comunicatiei prin
TCP/IP). Pentru o verificare automata a existentei acestor componente
si eventual instalarea lor, vizitati site-ul
WindowsUpdate.Microsoft.com. La data scrierii acestui articol, ultimele
versiuni sunt DUN 1.4 si WinSock 2.22.
Doar dupa instalarea unui program firewall va
veti da seama cât de expus este calculatorul când sunteti conectat la
Internet; exista persoane care verifica, cu programe specializate,
mii de calculatoare pe minut, încercând sa gaseasca un virus
troian sau un server pe care sa-l poata exploata. Calculatorul
va este bombardat cu astfel de încercari chiar si odata la
câteva secunde. Nu va faceti griji, asemenea evenimente sunt cu un
risc foarte scazut, chiar zero daca nu sunteti infectat cu un
troian; în plus, firewall-ul blocheaza automat tentativa.
De la instalare, majoritatea firewall-urilor vin cu
niste reguli de baza predefinite, ce va protejeaza în cazul
în care aveti fisiere sau imprimante partajate în retea. De
asemenea, când un program de pe calculator ce nu se afla în lista de permisiuni
sau interdictii doreste sa acceseze Internet-ul, firewall-ul
va va întreba daca îi dati voie sau nu, si va
ofera posibilitatea de a face aceasta alegere o regula
permanenta. În cazul în care ati fost infectati cu un
virus vierme sau troian, firewall-ul poate bloca raspândirea lui mai departe
sau accesul unui hacker în sistem. Daca sunteti conectati în
retea, firewall-ul poate fi configurat sa permita accesul
diferentiat la resursele calculatorului dumneavoastra: acces permis
dinspre retea, dar interzis dinspre Internet. Interfata si
detaliul de configurare difera de la un firewall la altul. Pentru
începatori, programul ZoneAlarm este recomandabil, întrucât este foarte
puternic si cu toate acestea usor de configurat. Pentru cei ce doresc
un control mai detaliat al porturilor ce pot fi folosite de fiecare program,
Kerio Personal Firewall este un program mic, foarte rapid, deosebit de flexibil
si permitând chiar si administrarea de la distanta. Pe
de alta parte, SyGate Personal Firewall ofera setari avansate
pentru fiecare program, ca si Kerio, plus informatii despre atacurile
pe care le-a blocat, ca si ZoneAlarm. Cele trei firewall-uri
mentionate sunt gratuite pentru utilizare personala. si
celelalte programe firewall sunt foarte bune, fiecare având fanii sai. Alegerea
va apartine.
În mod obisnuit, calculatorul pe care îl folositi
nu ruleaza nici un program de tip server, deci toate porturile nefolosite
sunt închise. Cu toate acestea, calculatorul nu este complet invizibil pe
Internet, întrucât raspunde la mesajul PING primit de la alte calculatoare.
Pentru a bloca acest mesaj, creati o noua regula în programul
firewall care sa blocheze pachetele de date dinspre Internet (incoming),
protocolul ICMP, mesajul tip Echo Request. De asemenea, daca aveti
instalat clientul pentru retele Microsoft (Client for Microsoft Networks),
acesta va deschide porturile 137 si 138 pe protocolul UDP, si portul
139 pe protocolul TCP, încercând sa comunice cu alte calculatoare Windows
din retea; acest lucru poate fi o problema daca puneti în
comun fisiere sau imprimante, întrucât ele vor fi accesibile dinspre
Internet. Daca nu folositi o retea locala, puteti
sterge clientul pentru retele Microsoft, sau instala un port blocker
care sa blocheze accesul numai la acele porturi; solutia cea mai
eleganta si mai configurabila ramâne însa un firewall.
Singurul tip de atac ce nu poate fi oprit de un firewall
este atacul tip "flood", adica un computer sau mai multe cu
conexiuni foarte rapide la Internet va inunda conexiunea
dumneavoastra (mai lenta) cu pachete de date, fara a
astepta un raspuns. Consecintele sunt doua: în primul rând,
datele vin cu o asemenea rapiditate, încât comunicatia normala cu
Internetul este încetinita sau chiar complet oprita; în al doilea
rând, nici soft-ul de comunicatie nu este perfect, încât dupa un timp
calculatorul ramâne fara resurse, sau modemul se
deconecteaza de la Internet Provider, sau obtineti un BSoD (Blue
Screen of Death, binecunoscutul ecran albastru de eroare critica Windows)
în cazurile cele mai severe. Acest tip de atac poate fi blocat doar la nivelul
echipamentelor de routare de la ISP-ul dumneavoastra, daca îl
sesizati telefonic. Un asemenea atac de tip flood a fost pornit asupra
serverelor retelei UnderNet, o retea de chat IRC, de catre o
persoana din România, care a obtinut acces de administrator la
serverele foarte rapide ale unor mari furnizori de servicii Internet din lume.
Aceste servere au fost programate sa atace anumite servere, astfel încât
timp de câteva luni reteaua Undernet a fost afectata foarte puternic
de supraîncarcare, unele servere fiind retrase de companiile ce le
sponsorizau datorita pierderilor financiare înregistrate prin
scaderea vitezei de transfer a utilizatorilor lor si încetinirea
afacerilor desfasurate prin Internet.
La vânatoare de hackeri
În cazul în care
ati fost atacat de cineva într-un mod foarte serios, programul firewall ar
fi trebuit sa înregistreze sursa si sa produca niste
fisiere jurnal (log) ca dovada. Astfel, sunteti în posesia
elementelor cheie pentru identificarea faptasului: adresa lui IP, data
si ora atacului (aveti ora la calculator setata cu precizie,
nu-i asa?). Se poate raporta acest atac la ISP-ul individului, dar
acestia de obicei iau masuri doar în cazul atacurilor repetate,
soldate cu pierderi de date, pierderi de bani datorate întreruperilor de
servicii comerciale prin Internet etc. Deci, pentru un atac singular, nu prea
va ajuta nimeni. De asemenea, nici fisierele log nu sunt
perfecte, deoarece pot fi falsificate. Dar, hai sa aflam carui
Internet provider apartine adresa IP respectiva. Pentru aceasta
folosim un program numit "whois", originar din lumea UNIX; acesta
interogheaza câteva centre mondiale ale organizatiilor ce se
ocupa cu alocarea adreselor IP. Un client whois pentru Windows, foarte
simplu, inteligent si gratuit, este Necrosoft Whois, NScan.org. Pur
si simplu introduceti adresa IP a atacantului, si în câteva
secunde veti afla adresa de Internet a providerului lui, uneori chiar
si cu informatii privitoare la numerele de telefon si persoanele
de contact. Presupunând ca ISP-ul gasit se numeste
HaiPeNet.com, scrieti un e-mail la adresa de contact specificata de
programul Whois (în strainatate se obisnuieste folosirea
adresei tip [email]abuse@HaiPeNet.com[/email],
dar nu este o regula) în care sa descrieti faptul ca
ati fost atacat de unul din clientii lor la data, ora si adresa
IP specificate; atasati fisierul sau fisierele jurnal ca
dovada, si solicitati sa se ia masuri împotriva
persoanei respective, întrucât atacul este o forma de abuz ce
afecteaza pe toata lumea. Pâna aici, ati facut tot ce
se putea pentru a scapa de dureri de cap; urmeaza ca si ISP-ul
respectiv sa aiba bunavointa de a rezolva problema. Ei pot
cauta în jurnalele lor de conectare ce username a folosit adresa IP respectiva
la momentul specificat, si apoi gasirea numelui, adresei si
numarului de telefon al abonatului lor e imediata. Aceste date nu vi
se vor comunica, bineînteles; eventual vi se va raspunde ca
persoana respectiva a fost gasita si i s-a suspendat contul
internet, sau a fost amendat etc.
Metoda nu este garantata sa functioneze,
întrucât nu tuturor Internet providerilor le pasa daca abonatii
lor fac sau nu prostii. În mod similar, daca atacul vine din partea unei
Internet cafe, identificarea acesteia urmata de un scurt apel telefonic ar
putea rezulta în aruncarea în strada a "hackerului", dar
sansele de realizare a acestui lucru sunt înca mici; în România, de
exemplu, exista un nivel aproape inexistent de "netiquette", o
responsabilitate online foarte redusa, si o implicare minima a
furnizorilor de servicii Internet. Multi începatori sar ca arsi
în clipa în care programul firewall le raporteaza un potential atac,
chiar si atât de minor cum e o scanare a porturilor deschise. Prima
reactie este de teama, enervare, si o dorinta
covârsitoare de a-i raspunde cu aceeasi moneda.
Greseala! În primul rând, programul firewall deja a blocat atacul
respectiv, deci nu sunteti afectat în nici un fel; în al doilea rând, atacul
nu a fost directionat asupra calculatorului dumneavoastra în mod
special, ci probabil ca v-ati numarat printre miile de
calculatoare atacate pe rând de persoana respectiva. Cel mai grav este
însa raspunsul cu un atac similar împotriva intrusului; nu numai
ca nu veti câstiga nimic, dar probabil veti încalca
legea. Faptul ca persoana respectiva a încalcat la rândul ei
legea prin atacarea calculatorului dumneavoastra nu va da
dreptul sa replicati si nu va iarta de
implicatiile legale ale actiunilor dumneavoastra! Mai bine
imaginati-va atacatorul ca o musca ce a încercat sa va
intre în casa, dar s-a izbit de un geam închis; nu dati o
importanta prea mare avertismentelor firewall-urilor, deoarece unii
au dat în paranoia, insomnie si tot felul de fobii datorita impresiei
ca pe ei tot timpul cineva îi ataca, îi spioneaza, îi
urmareste. Repet: firewall-ul si-a facut treaba, atacul nu
a avut succes, cazul a fost închis
|
