Documente Academic
Documente Profesional
Documente Cultură
CURSUL 4
ATACURI ASUPRA SECURITII SISTEMELOR INFORMATICE
flux normal
intercepie
Atac pasiv
(atac la confidenialitate)
ntrerupere
modificare
fabricare
Atacuri active
de fabricare(atac a autenticitate)
dei pot fi detectate, prevenirea lor este foarte grea, deoarece ar nsemna protecie
fizic permanent a ntregului sistem.
Atacurile asupra informaiei din sistemele de calcul pot lua diferite forme.
2
O prim clasificare a atacurilor poate fi fcut innd cont de locul de unde se execut
atacul. Distingem dou categorii de atacuri: locale i la distan.
O a dou clasificare poate fi fcut dup modul de interaciune a atacatorului cu
informaia rezultat n urma unui atac reuit. Aici se disting dou categorii de atacuri: pasive
i active.
4.1.3 Atacuri locale
Atacurile locale urmresc spargerea securitii unei reele de calculatoare de ctre o
persoan care face parte din personalul angajat al unei firme - utilizator local. Aceasta
dispune de un cont i de o parol care-i dau acces la o parte din resursele sistemului. De
asemenea, persoana respectiv poate s aib cunotine despre arhitectura de securitate a
firmei i n acest fel s-i fie mai uor s lanseze atacuri.
4.1.4 Atacuri la distan
Atacul la distan (remote attack) este un atac lansat mpotriva unui calculator despre
care atacatorul nu deine nici un fel de control, calculatorul aflndu-se la distan. Calculator
la distan (sau main la distan remote machine) este orice calculator care poate fi accesat
n reeaua local sau n Internet altul dect cel de la care se iniiaz atacul.
Prima etap este una de tatonare. Atacatorul va trebui s identifice:
- cine este administratorul;
- calculatoarele (mainile din reea), funciile acestora i serverul de domeniu;
- sistemele de operare folosite;
- punctele de vulnerabilitate;
- diverse informaii despre topologia reelei, construcia i administrarea
acesteia, politici de securitate etc.
Atunci cnd calculatorul-int nu se afl n spatele unui firewall, eforturile de atac sunt
diminuate.
Dac atacatorul face o greeal sau personalul nsrcinat cu securitatea este foarte bine
pregtit, atunci nu numai c atacul eueaz, dar sunt dezvluite chiar identitatea i localizarea
sursei atacului.
Nivelurile de atac pot fi clasificate n ase mari categorii:
Nivelul 1:
atac prin bombe e-mail;
atac de refuz al serviciului.
Nivelul 2:
atac prin care utilizatorii locali obin acces neautorizat pentru citire.
Nivelul 3:
atac prin care utilizatorii locali obin acces neautorizat pentru scriere n fiiere
n care nu au dreptul;
utilizatorii de la distan pot s deschid sesiuni de lucru neautorizate (login).
Nivelul 4:
utilizatorii de la distan pot avea acces la fiiere privilegiate (care conin
conturi i parole).
Nivelul 5:
utilizatorii de la distan pot scrie n fiiere privilegiate pot crea conturi.
Nivelul 6:
utilizatorii de la distan au drepturi de administrator (root) asupra sistemului.
bombe;
ci ascunse (Trap Doors / Back Doors);
spoofer-e;
hoax (pcleli);
alte tipuri de programe maliioase.
Un program maliios poate s aib, i sunt foarte multe astfel de cazuri,
comportamentul mai multor programe maliioase (virui). n aceast categorie se nscriu
viruii hibrizi. Datorit acestui comportament este greu de definit crei categorii i aparin
acetia. n realitate ntlnim acelai program maliios care are comportamente multiple.
Un virus este un fragment de cod program care se autocopiaz ntr-un mare numr de
programe i pe care le modific. Un virus nu este un program independent. Un virus i
execut codul program numai atunci cnd programul gazd, n care se depune, este lansat n
execuie. Virusul se poate reproduce imediat, infectnd alte programe, sau poate atepta, n funcie
de cum a fost programat, o anumit dat sau un eveniment la care s se multiplice. Virusul Vineri
13 (Friday 13th virus) se lansa n execuie la orice zi din an care era vineri i avea numrul 13.
Un virus va infecta USB-drive, HDD-ul, CD-ROM-ul, memoria flash i memoria intern.
De aici se poate rspndi cu ajutorul suporturilor de memorie portabile, conexiune la reea i
modem.
ntre virui i viermi (alt program maliios) se nasc uneori confuzii. Viruii sunt
considerai distructivi, iar viermii nedistructivi. Un virus altereaz sau distruge datele din
calculatorul infectat, n timp ce un vierme afecteaz buna funcionare a calculatorului.
Un vierme este un program independent. El se reproduce prin autocopierea de la un
calculator la altul prin intermediul reelei n cele mai multe cazuri. Spre deosebire de virus, un
vierme nu altereaz sau distruge datele din calculator, dar poate crea disfuncionaliti n reea
prin utilizarea resurselor acesteia pentru autoreproducere.
Noiunea de vierme informatic a fost introdus pentru prima dat n anul 1975 de ctre
scriitorul de literatur science fiction John Brunner n cartea The Shockwave Rider. Autorul
descrie un program cu numele tapeworm care triete n interiorul computerelor, se multiplic
de la calculator la calculator atta timp ct exist o conexiune la reea.
Un cal troian (uneori se folosete denumirea de troian) este un fragment de cod care
se ascunde n interiorul unui program i care va executa o operaie ascuns. Un Cal Troian
reprezint cel mai utilizat mecanism pentru a disimula un virus sau un vierme.
Un Cal Troian se va ascunde ntr-un program cunoscut sau o funcie apelabil, care nu
creeaz suspiciuni utilizatorului, dar care va lansa alte operaii ilegale. Utilizatorul poate s
lanseze n execuie un program aparent inofensiv, dar care are ncorporat n el un cod
neautorizat. Funciile neautorizate realizate de codul program inclus pot s lanseze un virus
sau un vierme.
O bomb este un tip de Cal Troian folosit cu scopul de a lansa un virus, un vierme sau
un alt tip de atac. O bomb poate fi un program independent sau o bucat de cod care va fi
instalat de un programator. O bomb se va activa la o anumit dat sau atunci cnd anumite
condiii sunt ndeplinite.
Tehnic, exist dou tipuri de bombe: de timp i logice. O bomb de timp se va activa
atunci cnd se scurge o anumit perioad de timp de la instalare sau cnd se atinge o anumit
dat calendaristic. O bomb logic va aciona atunci cnd se ndeplinesc anumite condiii
impuse de cel care a creat-o.
Cile ascunse (Trap Doors) sunt mecanisme care sunt create de ctre proiectanii de
software pentru a putea s ptrund n sistemul de calcul ocolind sistemele de protecie.
Aceste puncte de intrare n sistem sunt lsate intenionat de proiectani pentru a putea s testeze i monitorizeze programele sau n caz de refuz al accesului s poat s depaneze subrutina de acces. Trap doors-urile sunt folosite n perioada de testare i apoi sunt eliminate cnd
programul este livrat ctre utilizator. Acestea sunt eliminate n totalitate sau parial, dup caz.
n mod normal, un punct de intrare de tip Trap Door este activat de ctre persoana care
l-a creat. Sunt ns i cazuri cnd aceste puncte sunt descoperite i exploatate de persoane
ruvoitoare.
Ci ascunse (Back Doors) se pot crea cu ajutorul cailor Troieni. Mecanismul
presupune introducerea n calculatorul-int a unui program care ulterior s deschid ci de
acces ctre resursele acestuia. Caii Troieni sunt cei mai folosii pentru atingerea acestor
scopuri.
Spoofer-ele reprezint un nume generic dat unor programe care permit unui utilizator,
folosind anumite iretlicuri, s aib acces la informaiile din sistem. De regul, spoofer-ele,
sunt posibile cu ajutorul mecanismelor Cal Troian care vor activa programe care dau acces la
informaii.
Hoax (pclelile) sunt mesaje trimise prin e-mail care conin avertizri false despre un
virus existent i care cer s fie avertizate toate persoanele cunoscute. Uneori aceste avertizri
conin i fiiere ataate care sunt menite, chipurile, s stopeze sau s elimine presupusul virus.
Retrimiterea mesajului la alte destinaii face ca virusul s se multiplice fr ca cel care l-a
creat s-l proiecteze s se multiplice.
Dup cum se constat, nu orice program maliios este virus. Dac vrem s fim riguroi
nu trebuie s mai punem laolalt toate programele, sau codurile de program, care produc
pagube.
Pentru c toate aceste programe se comport aparent ca un virus biologic, au
primit denumirea generic de virus informatic.
Ca i virusul biologic, virusul informatic are nevoie de o gazd pentru a putea s
infecteze, s se reproduc, s se rspndeasc. Aceasta gazd este format din informaia
stocat pe suporturile de memorie. Majoritatea viruilor infecteaz fiiere program, din
aceast cauz poart i denumirea de virus de fiiere. Atunci cnd acest fiier, purttor de
virus, este lansat n execuie de un utilizator care nu tie de existena infeciei, codul maliios
este autoncrcat n memoria intern a calculatorului, este executat codul, se caut apoi un alt
fiier care s fie infectat i se autocopiaz n acesta. Aciunea unui virus informatic este
reprezentat schematic n figura urmtoare (figura 1).
fiiere i-au fcut apariia n anul 1987, o dat cu descoperirea la Universitatea Ebraic din
Israel a virusului Jerusalem (Ierusalim).
Funcionarea unui virus de fiier este exemplificat n figura 3:
Virusarea prin salt la sfritul programului-gazd presupune ca la nceputul fiieruluigazd s existe o instruciune de salt necondiionat la sfritul fiierului unde este ataat codul
maliios al virusului. Dup ce se execut codul virusului se face un salt napoi la nceputul
programului-gazd. n acest fel, programul-gazd va funciona fr s se blocheze. Se observ
ns, n acest caz, o mrire a dimensiunii fiierului-gazd (figura 5).
Viruii de fiier polimorfici sunt capabili s-i schimbe semntura atunci cnd se
multiplic de la un sistem de calcul la altul. Din aceast cauz, aceti virui sunt foarte greu de
detectat, producnd, de aceea, cele mai mari dezastre.
Modul de infectare cu virui a fiierelor poate fi diferit de la virus la virus. O
clasificare a viruilor de fiier innd cont de modul de infectare este urmtoarea:
parazii;
suprascriere;
Entry-Point Obscuring;
de companie;
de legtur;
OBJ, LIB i virui cod surs.
Viruii parazii modific coninutul programului-gazd, dar las cea mai mare parte
din el intact. Aceti virui se ataeaz la nceputul sau la sfritul programului-gazd. n
anumite situaii, codul virusului se poate instala n zone nefolosite din fiier.
Viruii de suprascriere rescriu (suprascriu) programul-gazd cu propriul lor program.
n acest mod, programul-gazd nu mai este funcional.
Viruii de tip Entry-Point Obscuring folosesc o metod ingenioas de infectare a
programului-gazd. n programul-gazd se va introduce doar o mic secven de program
care, la ndeplinirea anumitor condiii, va lansa n execuie codul maliios al virusului aflat la
o alt locaie. Lansarea n execuie a programului-gazd nu va presupune i lansarea n
execuie a virusului, acesta ateptnd condiiile pentru a putea s-i lanseze programul
distructiv.
Viruii de companie nu atac n mod direct fiierul gazd, dar creeaz o copie a
acestuia care va fi lansat n execuie n locul originalului. n acest fel, fiierul original care
execut operaia de formatare a suporturilor de memorie format.com va fi clonat i redenumit
format.exe. Acest din urm fiier va conine de fapt virusul. Viruii de companie pot s
modifice i cile (paths) de acces n aa fel nct s se dea trimitere la fiierele clonate.
Viruii de legtur nu modific dect n mic msur coninutul programului-gazd.
La nceputul programului-gazd se va inocula o instruciune de salt (GOTO, JUMP) la o
locaie din afara gazdei care va conine codul virusului. Aciunea este similar cu cea descris
n modurile de infectare prin salt la sfritul programului gazd sau prin suprascrierea datelor
rezultate n urma execuiei programului-gazd.
Viruii OBJ, LIB i cod surs nu au o rspndire aa de mare. Acetia infecteaz
modulele obiect (OBJ), bibliotecile compilatoare (LIB), precum i codurile surs ale programelor-gazd.
n cea mai mare msur ns, viruii de fiiere afecteaz fiierele executabile (cu
extensiile EXE, COM etc.).
Cei mai cunoscui virui de fiier sunt: CASPER, Chernobyl, CRUNCHER, DieHard2, Fun Love, Jerusalem, Junkie, Magistr, Natas, Nimda, OneHalf, Plagiarist, Vienna.
Viruii de boot pot s infecteze sectorul de boot de pe discurile flexibile sau dure. Pe
discurile dure infecteaz de regul zona de MBR. Pot fi foarte distructivi, putnd bloca
sistemul de calcul n timpul operaiei de boot-are. De asemenea, pot s distrug ntreaga
informaie de pe discuri, de regul de pe discul dur. Apariia i recrudescena acestor virui i
face simit prezena nc de la apariia primelor suporturi de memorie de tip disc flexibil pe
10
care le infectau i pe care le foloseau ca purttoare pentru rspndirea lor. Fa de alte tipuri
de virui, acetia i-au limitat aciunea datorit limitrii folosirii din ce n ce mai puin a
discurilor flexibile. Nu nseamn ns c au disprut n totalitate.
Singurul mod de infectare cu un virus de boot este de a se ncrca sistemul de operare
de pe o dischet care conine un virus de boot. Aceasta dischet, la rndul ei, a fost infectat
de pe un calculator care coninea un virus de boot.
La punerea sub tensiune a sistemului de calcul pornirea acestuia, se execut n mod
normal urmtoarele aciuni n procesul de ncrcare (boot-are) (figura 7).
Procesul de boot-are este modificat considerabil atunci cnd sistemul este infectat cu
un virus de boot (figura 8).
11
Virusul va muta, n majoritatea cazurilor, sectorul original de boot ntr-o alt zon
liber de pe disc. Din aceasta cauz, eliminarea virusului i a efectelor acestuia de pe discurile
dure pot fi realizate prin comanda ascuns DOS FDISK/MBR executat de pe un disc flexibil
boot-abil nevirusat care va conine i aceast comand.
Odat lansat n execuie, virusul rmne rezident n memorie i va infecta discurile
flexibile folosite.
Interesant de remarcat la aceast categorie de virui este modul lor de aciune fa de
ali virui de acelai tip. Pentru c acest tip de virui ocup aceeai zon de pe disc, MBR sau
sectorul de boot, nu pot exista mai muli virui de boot pe un disc. Ultimul virus instalat l va
terge pe cel existent pe disc.
Cei mai cunoscui virui de boot sunt: Frankenstein, KULROY-B, Matthew,
Michelangelo, PARITY, Stoned.
Virui de macro, sau macro-virui, infecteaz fiierele de tip document. Nu trebuie
confundai cu viruii de fiier care afecteaz fiierele executabile. Viruii de macro tind s ia
locul, ca modalitate de rspndire fizic, viruilor de boot. Dac viruii de boot se rspndesc
cu ajutorul dischetelor purtate de la un utilizator la altul, viruii de macro se rspndesc cu
ajutorul documentelor transmise ntre utilizatori. Fa de viruii de boot, viruii de macro sunt
mult mai numeroi, atingnd un numr de aproape 5000. Pentru c infecteaz fiiere de tip
document, care sunt portabile pe diferite platforme, pot afecta att sistemele Windows, ct i
Macintosh.
Virusul exploateaz o aplicaie auto-execution macro care este lansat automat n
execuie cnd documentul este deschis. Lansat n execuie, comanda macro care conine
codul maliios al virusului va putea s tearg sau s modifice poriuni de text, s tearg sau
s redenumeasc fiiere, s se multiplice i s creeze alte tipuri de distrugeri. Muli virui de
macro se autocopiaz n fiierul normal.dot care este lansat n execuie (n Microsoft Word)
ori de cte ori este deschis un document. n acest fel, noul document deschis va fi infectat.
Viruii de macro afecteaz fiierele cu extensiile: DOC i DOT create cu Microsoft
Word; XLS i XLW create cu Microsoft Excel; ADE, ADP, MDB i MDE create cu
Microsoft Access; PPT create cu Microsoft PowerPoint; SAM create cu Lotus Ami Pro;
CSC create cu Corel Draw i Corel Photo-Paint.
Cei mai rspndii virui de macro sunt cei care afecteaz platformele Microsoft. i
aceasta nu din cauz c aceast platform este mai vulnerabil ca altele, ci din cauz c cele
mai multe documente sunt create cu aceasta.
Funcionarea unui virus de macro este exemplificat n figura 9.
12
Viruii de script sunt creai cu ajutorul unor limbaje numite limbaje script sau
scripturi. Exist mai multe limbaje script care sunt folosite de la scrierea de programe pentru
sistemele de operare i pn la crearea paginilor Web. Deosebirea dintre limbajele script i
limbajele tradiionale este aceea c, fa de limbajele de programare ca C sau Visual Basic,
scripturile sunt mai puin complexe. Scriptul reprezint de fapt un cod de program scris cu un
limbaj script. Instruciunile script sunt executate pe rnd n mod secvenial. Un fiier script
este similar cu un fiier de comenzi BATCH din vechile sisteme de operare de tip DOS.
Se poate face observaia c un virus de macro reprezint de fapt un tip de virus de
script deoarece un limbaj macro este la ora actual un limbaj script. Cele mai cunoscute
limbaje script sunt: Visual Basic Script (VBS), JavaScript (JS) i ActiveX.
O clasificare a acestor virui poate fi fcut dup limbajele care sunt folosite pentru
crearea acestora. Cele mai cunoscute sunt: Visual Basic Script, Windows Script, ActiveX,
JavaScript, HTML, MIME, PHP.
Visual Basic Script este cel mai popular n crearea acestor virui. Visual Basic Script
este o versiune script a limbajului de programare Visual Basic. Un VBS va conine linii de
comand care vor fi executate secvenial la lansarea n execuie a fiierului care le conine.
Windows Script permite sistemelor de operare Windows, prin intermediul lui
Windows Script Host (WSH), lansarea n execuie a diferitelor fiiere create cu ajutorul unui
limbaj script. Fiierele create cu ajutorul unor limbaje script VBS, ActiveX sau JavaScript
au extensia VHS i pot s modifice funciile sistemului de operare.
ActiveX reprezint o tehnologie folosit de ctre Microsoft pentru vizualizarea
paginilor Web. Controalele ActiveX sunt folosite pentru gestionarea paginilor Web atunci
cnd sunt ncrcate ntr-un browser de Web i pot include contoare de vizitatori, butoane etc.
ActiveX este creat folosind limbajul ActiveX script. Modificarea acestuia poate duce la
deteriorarea sau pierderea datelor din calculator. Browser-ul Internet Explorer de la Microsoft
13
(la versiunile mai vechi de sisteme de operare) avea o serie de goluri de securitate n aceast
privin. n unele cazuri, utilizatorul recurgea la dezactivarea controalelor ActiveX pentru a
putea s-i asigure securitatea.
JavaScript este un limbaj script derivat din Java i are foarte multe asemnri cu
ActiveX. A fost creat pentru a fi ncorporat n codul standard HTML la crearea paginilor Web.
Poate fi lansat de ctre Windows Scripting Host i este ncorporat n paginile Web i pot
electronic.
HTML reprezint un cod folosit pentru crearea paginilor WEB. Un cod simplu HTML nu
poate conine un virus, dar o pagin Web creat cu acesta poate conine virusul prin ncorporarea
VBS, JavaScript sau ActiveX.
MIME face posibil exploatarea unui gol de securitate din Outlook sau Outlook Express
care permite vizualizarea automat a unui mesaj. Dac acest mesaj va conine virusul, acesta i va
lansa codul distructiv.
PHP este un limbaj script folosit la nivel de server pentru crearea paginilor Web dinamice.
Pe lng aceste modaliti de creare, lansare i multiplicare a viruilor de script se mai
ntlnesc i cele care acioneaz la nivelul fiierelor cu extensia INF i REG din sistemele de
operare Windows. Modificarea neautorizat a acestor fiiere va duce la disfuncionaliti ale
sistemului.
Viruii de e-mail se folosesc de faptul c e-mail-ul reprezint cea mai utilizat
aplicaie Internet din zilele noastre. Zilnic fiecare utilizator transmite i recepioneaz mesaje
n format electronic. Beneficiile sunt evidente n acest caz. Reversul este c tot prin e-mail se
transmit i coduri maliioase virui informatici.
Posibilitatea de a folosi pota electronic pentru transmiterea de virui a fost fcut
posibil datorit evoluiei tehnicii. Primele mesaje de e-mail erau trimise i recepionate n
text clar (plain text) fr posibilitatea de a se putea insera un virus n acest mesaj. Numai c
utilizatorul nu avea posibilitatea de formatare a textului. Nu se putea scrie cu litere groase,
nclinate, colorate, de diferite mrimi etc. i nici nu era nevoie. Conta doar informaia
transmis de textul n sine i nu de artificiile pe marginea textului. Numai c tehnica a evoluat
i s-a fcut trecerea de la Plain Text e-mail la HTML e-mail. i o dat cu acesta a aprut i
posibilitatea de a se transporta virui cu ajutorul e-mail-ului.
Un e-mail n format HTML este ca o pagin web HTML. Iar o pagin web HTML are
ncorporate controale ActiveX i applet-uri JavaScript care pot s conin i s lanseze coduri
maliioase. Viruii care se transmit prin e-mail sunt de fapt virui de script i nu virui de email n accepiunea standard. O alt modalitate de transmitere a unui virus este de a-l ataa ca
fiier de mesajul scris n mod plain text.
Pentru rspndirea viruilor cu ajutorul potei electronice se folosesc n principal trei
modaliti:
prin ataamente, utiliznd tehnica de Cal Troian;
prin exploatarea golurilor de securitate, MIME exploit;
prin ncorporarea codului maliios n mesaje HTML.
Rspndirea viruilor prin fiiere infectate ataate la mesajul text este cea mai comun
cale i cea mai utilizat. Dac destinatarul nu lanseaz n execuie fiierul care conine virusul
nu se ntmpl nimic. Dac ns se trece la execuia acestuia atunci codul maliios al virusului
14
este executat i virusul va executa operaiile pentru care a fost proiectat i se va multiplica i
rspndi.
Virui de Chat i Instant Messaging
Serviciul de Chat este asigurat de servere specializate dintr-o subreea Internet numit
Internet Relay Chat (IRC). Aceasta permite ca doi sau mai muli utilizatori s poarte discuii
(chat) individuale sau de grup i s schimbe ntre ei fiiere folosind un canal de comunicaie.
Utilizatorii unui canal se numesc membri ai acelui canal. Protocolul folosit n transmisie este
DCC.
Utilizatorul va putea cu ajutorul unui program, cum ar fi mIRC, s se conecteze la un
server de chat i s iniieze un grup de discuii.
Folosind acest mediu creat, un virus se va putea multiplica i va putea infecta
calculatoarele din reea n dou moduri distincte:
prin transferul de fiiere infectate ntre utilizatori;
prin folosirea scripturilor IRC.
Infectarea prin transferul de fiiere infectate ntre utilizatori este destul de simplu de
realizat. Atacatorul va trimite ctre int un fiier care se vrea s fie util destinatarului. Acesta
poate s fie un fiier de ajutor, un program utilitar, un mic joc, un fiier cu documentaii sau o
imagine. O dat ce destinatarul va deschide fiierul trimis, virusul se va activa i-i va lansa
programul distructiv.
Infectarea prin folosirea scripturilor IRC presupune scrierea de scripturi care vor
conine instruciuni care se vor executa secvenial. O dat acceptate de ctre destinatar sau
destinatari, aceste scripturi se vor substitui automat n fiierele similare din calculatorul-int
i vor iniia atacul.
Virui pcleal (Hoax)
Acetia reprezint o categorie special de virui care se bazeaz pe credulitatea aceluia
care poate s devin inta unui atac. Mesaje de e-mail sau ferestre aprute n timp ce faci
browsing de genul Ai ctigat o excursie n, Ai ctigat o sum de, Calculatorul tu
are un virus, Trimite acest mesaj la toi cunoscuii ti i vei avea noroc, cu invitaia de
a trimite sau de a confirma cu opiunea Yes, sunt destul de frecvente n Internet. Uneori, acest
tip de virui, mai ales cei care apar n ferestre browsing, acioneaz chiar i atunci cnd se
alege opiunea No (Nu). Din aceasta cauz, este indicat s se nchid fereastra din opiunea
Close (X), din Taskbar Close, sau apsnd perechea de taste Alt+F4.
4.3.3 Sprgtoare de parole i utilizarea lor n testarea securitii firmei
Protejarea prin parole a accesului la resursele sistemului de calcul sau protejarea n
acelai mod a accesului la fiiere reprezint cea mai des utilizat i mai la ndemn metod
de protecie a datelor din calculatoare.
n majoritatea cazurilor sistemul de parole este folosit pentru autentificare i
identificare n limitarea accesului, dar poate fi folosit i pentru protecie la nivel de fiier sau
folder.
Un sprgtor de parole este un program care poate determina parolele sau care poate
evita sau dezactiva protecia prin parole. n literatura de specialitate termenul poate fi ntlnit
sub denumirile de password cracker sau password recovery. Programele din aceast
categorie i bazeaz succesul pe folosirea algoritmilor care prezint slbiciuni, implementri
15
greite ale acestora i factorul uman. Un sprgtor de parole este cu att mai eficient cu ct
parola folosit este mai simpl de gsit i cu ct programul de spart parole ruleaz pe un
calculator performant.
Ca tehnici de atac pentru ghicirea parolei se folosesc urmtoarele:
atac prin fora brut;
atac folosind dicionare.
Atacul folosind ca tehnic fora brut este un program care ncearc s gseasc,
ncercare dup ncercare, parola corect. Aceasta presupune generarea, dup un anume
algoritm, de cuvinte care sunt apoi testate ca parol. Folosirea combinaiilor de 10 cifre, 26 de
litere i alte simboluri existente pe tastatur fac ca procesul s fie de lung durat. Folosirea
unui calculator performant reduce considerabil timpul. De asemenea, dac parola este scurt
sau folosete combinaii doar de cifre sau de litere, timpul este redus.
Atacul folosind dicionare presupune existena unui fiier dicionar (dictionary file)
care conine o list de cuvinte folosite n algoritmul de generare a parolei. Programul va folosi
datele din acest dicionar pentru a ncerca spargerea parolei.
Scanere i utilizarea lor n testarea securitii firmei
Scanerul este un program utilitar folosit pentru detectarea automat a punctelor
slabe n securitatea unui sistem. Cu ajutorul scanerului, un utilizator va putea s verifice, local
sau la distan, punctele prin care se poate ptrunde ntr-un sistem i ulterior s acopere aceste
goluri de securitate. Dac acest instrument este utilizat ns de o persoan ruvoitoare, care
posed cunotine avansate n domeniu, securitatea calculatorului int sau a sistemului va fi
serios afectat. Construite iniial pentru a crete securitatea, scanerele, ajunse de cealalt parte
a baricadei, pot crea serioase probleme n asigurarea securitii.
Nu trebuie fcut ns confuzie ntre utilitarele de reea i scanere. Un utilitar de reea
este un program folosit pentru investigarea unei singure inte. Un scaner va efectua automat
operaiile pentru care a fost proiectat, n timp ce un utilitar de reea va efectua numai
operaiile dictate de un utilizator. O alt deosebire este aceea ca un scaner las de multe ori
urme ale aciunii lui, n timp ce un utilitar nu las urme.
Traceroute, showmount, host, rusers i finger de pe platformele UNIX precum i
Netscan Tools, Network Toolbox, TCP/IP Surveyor de pe platformele Windows sunt
utilitare de reea.
Majoritatea scanerelor sunt folosite pentru a testa porturile TCP, adic acele porturi
care folosesc serviciile TCP/IP.
Un scaner va trimite ctre int o serie de pachete i va testa rspunsul la acestea. n
funcie de rspuns se va alege o cale de atac.
Principalele atribute ale unui scaner sunt:
capacitatea de a gsi un server, o reea sau un calculator partajat n reea;
capacitatea de a determina ce servicii ruleaz pe acesta;
capacitatea de a testa serviciile pentru a se determina eventualele vulnerabiliti.
O scanare de porturi va trebui s fie executat cu mare vitez deoarece alocarea unui
timp prea mare va putea fi sesizat. Pentru atacul la distan, folosind reeaua Internet,
atacatorul trebuie s dispun de puternice resurse hardware i de o lime de band suficient
mai ales dac se iniiaz un atac asupra mai multor locaii.
4.3.4
16
Atacatorul va trebui ca nainte de iniierea unui atac s-i mascheze propria poziie. n
caz contrar, va putea fi detectat. Pentru aceasta se folosesc programe de ascundere a
identitii. Aceste programe ascund adresa IP.
Un program performant folosit pentru scanare va aloca i foarte puin timp operaiei,
va ascunde identitatea IP a atacatorului i va culege rapid informaiile necesare unei
intruziuni.
Momentele de timp bine alese pot s asigure o plaj mai mare de timp necesar
efecturii uneia sau mai multor scanri. Aceste momente se aleg pe baza presupunerilor
referitoare la personalul care deservete calculatorul int vizat. Momentele n care personalul
este n pauza de mas sau la nceperea i terminarea lucrului, la nceput sau sfrit de
sptmn pot fi alese ca moment de scanare tiut fiind c la acele momente atenia este mai
redus.
Atacul cu ajutorul scanerelor poate fi detectat uor dac calculatorul int dispune de
capacitatea de nregistrare a activitilor. Stoparea unui scaner poate fi fcut uor cu ajutorul
unui dispozitiv firewall.
Cele mai utilizate scanere sunt NSS (Network Security Scanner), Strobe, SATAN
(Security Administrators Tools for Analyzing Networks), Jakal, IndentTCPscan,
Xscan, Xsharez, Advanced Port Scanner, Super Scan, Angry IP Scanner.
4.3.5 Folosirea interceptoarelor de trafic pentru accesul la datele firmei
Interceptarea traficului dintr-o reea constituie o alt cale de a sustrage informaia.
Un interceptor (sniffer) este o component, software sau hardware, proiectat s
asculte i s captureze informaiile vehiculate n reea.
Nu trebuie s se fac confuzie ntre interceptoare de trafic (sniffer-e) i programe
utilitare de capturare a tastelor (key strokes). Utilitarele de captur a tastelor vor culege i
stoca toate tastele i combinaiile de taste apsate, ulterior urmnd s fie analizate n vederea
cutrii de informaii. Sunt folosite de regul pentru capturarea parolelor. n schimb,
interceptoarele vor captura traficul din reea indiferent de protocolul folosit.
Un interceptor reprezint o ameninare serioas la adresa securitii deoarece cu
ajutorul acestuia se pot efectua urmtoarele operaii:
capturarea parolelor;
capturarea informaiilor secrete;
testarea vulnerabilitii n alte reele.
Pentru capturarea traficului trebuie ndeplinite anumite condiii:
arhitectura reelei s permit acest lucru;
configurarea plcii de reea n mod neselectiv (promiscuous).
Cel mai cunoscut mod de interconectare a calculatoarelor n reea se realizeaz cu
ajutorul tehnologiei Ethernet. Tehnologia Ethernet permite interconectarea calculatoarelor cu
condiia ca acestea s posede componente hardware, ct i software care s permit
transportul pachetelor Ethernet. Cerinele hardware presupun existena unei placi de reea
(NIC), a unui cablu de interconectare (sau alt modalitate) i, evident, a unui calculator.
Software-ul minim necesar se compune dintr-un driver pentru pachete Ethernet i un driver
pentru placa de reea. Driverul de pachete Ethernet va asigura transportul informaiei n
ambele sensuri i are rol de legtura ntre placa de reea i protocolul Ethernet.
17