TEHNICI DE SECURIZARE A DATELOR SI PROGRAMELOR

CURSUL 4
ATACURI ASUPRA SECURITII SISTEMELOR INFORMATICE

4.1 Tipologia atacurilor asupra sistemelor informatice

Atacul asupra securitii unui sistem informatic definete orice aciune ce compromite
securitatea acelui sistem.
Atacurile criptografice pot fi ndreptate mpotriva :
algoritmilor criptografici;
tehnicilor utilizate pentru implementarea algoritmilor protocoalelor;
protocoalelor.
O ilustrare sugestiv a principalelor tipuri de atacuri asupra unui sistem
informatic este prezentat succint n figura alturat:

flux normal
intercepie

Atac pasiv
(atac la confidenialitate)

ntrerupere

modificare

fabricare

Atacuri active

Dup modelul de atacare al unui atacator / intrus / persoan neautorizat /

pirat (attacker / intruder / pirat), aceste atacuri se pot clasifica dup cum urmeaz:
- atacuri pasive (de intercepie):
- de nregistrare a coninutului mesajelor
- de analiz de trafic;
- atacuri active:
- de ntrerupere (atac la disponibilitate)
- de modificare (atac la integritate)
1

de fabricare(atac a autenticitate)

4.1.1 Atacuri pasive

Atacurile pasive sunt atacuri n care intrusul (persoana, calculator, program) doar
ascult, monitorizeaz transmisia, deci sunt atacuri de intercepie. Ele pot fi de dou feluri:
- de nregistrare a coninutului mesajelor( release of message contents), de
exemplu n convorbirile telefonice, n pota electronic, fapt pentru care dac
mesajele nu sunt criptate, se violeaz caracterul confidenial al comunicaiei.
- de analiz a traficului ( trafic analysis ): n cazul n care mesajele sunt criptate i
nu se poate face rapid criptanaliza, prin analiza traficului se pot afla o serie de date
utile criptanalizei precum identitatea prilor ce comunica ntre ele, frecvena i
lungimea mesajelor.
Caracteristicile atacurilor pasive:
-

sunt greu de detectat pentru c datele nu sunt alterate;

msurile ce pot fi luate pentru evitarea acestor atacuri sunt acelea care fac
criptanaliza extrem de grea, dac nu imposibil;
este necesar prevenirea i nu detecia lor.

4.1.2 Atacuri active

Atacurile active sunt atacuri n care intrusul are o intervenie activ att n
desfurarea normal a traficului, ct i n configurarea datelor (modificarea datelor,
crearea unor date false). Dintre atacurile active amintim :
ntreruperea / refuzul serviciului (Denial of Service) un bloc funcional este distrus,
sau se inhib funcionarea normal sau managementul facilitailor de comunicaie;
acest tip de atac este un atac la disponibilitate (attack on availability)
modificarea: mesajul iniial este ntrziat, alterat, reordonat pentru a produce efecte
neautorizate cum ar fi:
- schimbare de valori n fiiere de date;
- modificri n program astfel nct acesta va lucra diferit;
- modificarea coninutului mesajelor transmise n reea
fabricarea: un neavizat insereaz informaii false n sistem; acest atac este un
atac de autenticitate. Din aceast categorie fac parte i:
- masacrarea (masquerade): o entitate pretinde a fi alt entitate. Exemplu:
secvenele de autentificare pot fi capturate i dup validarea unei autentificri
se nlocuiesc, permind astfel unei entiti s obin privilegii pe care nu le
are de drept.
- reluarea (replay) const n capturarea prin atac pasiv a unei cantiti de
informaie i transmiterea s ulterioar pentru a produce efecte neautorizate.
Caracteristicile atacurilor active:
-

dei pot fi detectate, prevenirea lor este foarte grea, deoarece ar nsemna protecie
fizic permanent a ntregului sistem.
Atacurile asupra informaiei din sistemele de calcul pot lua diferite forme.
2

O prim clasificare a atacurilor poate fi fcut innd cont de locul de unde se execut
atacul. Distingem dou categorii de atacuri: locale i la distan.
O a dou clasificare poate fi fcut dup modul de interaciune a atacatorului cu
informaia rezultat n urma unui atac reuit. Aici se disting dou categorii de atacuri: pasive
i active.
4.1.3 Atacuri locale
Atacurile locale urmresc spargerea securitii unei reele de calculatoare de ctre o
persoan care face parte din personalul angajat al unei firme - utilizator local. Aceasta
dispune de un cont i de o parol care-i dau acces la o parte din resursele sistemului. De
asemenea, persoana respectiv poate s aib cunotine despre arhitectura de securitate a
firmei i n acest fel s-i fie mai uor s lanseze atacuri.
4.1.4 Atacuri la distan
Atacul la distan (remote attack) este un atac lansat mpotriva unui calculator despre
care atacatorul nu deine nici un fel de control, calculatorul aflndu-se la distan. Calculator
la distan (sau main la distan remote machine) este orice calculator care poate fi accesat
n reeaua local sau n Internet altul dect cel de la care se iniiaz atacul.
Prima etap este una de tatonare. Atacatorul va trebui s identifice:
- cine este administratorul;
- calculatoarele (mainile din reea), funciile acestora i serverul de domeniu;
- sistemele de operare folosite;
- punctele de vulnerabilitate;
- diverse informaii despre topologia reelei, construcia i administrarea
acesteia, politici de securitate etc.
Atunci cnd calculatorul-int nu se afl n spatele unui firewall, eforturile de atac sunt
diminuate.

4.2 Niveluri de atac i niveluri de rspuns

Securitatea este relativ. Dei sunt implementate ultimele tehnologii de securitate n
cadrul firmei, atacurile pot surveni n orice moment. Dac atacurile locale pot surveni atunci
cnd atacatorul-angajat al firmei este la serviciu, atacurile la distan pot s survin n orice
moment. Atacurile sunt lansate n aa fel nct s nu fie detectate. Pentru ca un atac s aib
succes, acesta trebuie s fie eficient, executat cu mare vitez i n deplin clandestinitate.
Pentru a putea s fie eficient, atacatorul trebuie s foloseasc instrumente i tehnici
verificate de atac. Folosirea haotic a acestora se poate concretiza n prinderea i pedepsirea
atacatorului.
Viteza este esenial. Atacatorul trebuie s acceseze, s penetreze, s culeag i s ias
din calculatorul-int, fr s lase urme, n timpul cel mai scurt posibil. Orice fraciune de
secund n plus pierdut n sistemul-int poate fi fatal. Pentru a se asigura o vitez mare,
atacatorul va folosi reeaua atunci cnd traficul n reea (inclusiv Internet) este mai sczut.
Sunt i cazuri cnd atacurile se execut atunci cnd calculatorul (serverul) este foarte solicitat,
pentru a se masca atacul.

Dac atacatorul face o greeal sau personalul nsrcinat cu securitatea este foarte bine
pregtit, atunci nu numai c atacul eueaz, dar sunt dezvluite chiar identitatea i localizarea
sursei atacului.
Nivelurile de atac pot fi clasificate n ase mari categorii:
Nivelul 1:
atac prin bombe e-mail;
atac de refuz al serviciului.
Nivelul 2:
atac prin care utilizatorii locali obin acces neautorizat pentru citire.
Nivelul 3:
atac prin care utilizatorii locali obin acces neautorizat pentru scriere n fiiere
n care nu au dreptul;
utilizatorii de la distan pot s deschid sesiuni de lucru neautorizate (login).
Nivelul 4:
utilizatorii de la distan pot avea acces la fiiere privilegiate (care conin
conturi i parole).
Nivelul 5:
utilizatorii de la distan pot scrie n fiiere privilegiate pot crea conturi.
Nivelul 6:
utilizatorii de la distan au drepturi de administrator (root) asupra sistemului.

4.3 Tehnici i instrumente de atac asupra datelor

4.3.1 O posibil tipologie a programelor maliioase
Viruii informatici reprezint una dintre cele mai evidente i mai prezente ameninri
la adresa securitii datelor din cadrul firmelor i care necesit luarea de msuri imediate.
Detectarea viruilor informatici i anihilarea acestora reprezint prima cerin n asigurarea
securitii calculatoarelor. Termenul de virus informatic este att de bine cunoscut ca termen
nct atunci cnd se face referire la acesta se folosete doar denumirea de virus. n multe
cazuri se face ns confuzie ntre diferitele tipuri de programe maliioase, numindu-le pe toate
virus.
Noiunea de virus informatic este general. Aceasta descrie un numr de diferite
tipuri de atac asupra calculatoarelor. Un virus reprezint un cod maliios de program care
se autocopiaz n alte programe i pe care le modific. Un cod maliios va lansa n execuie
operaii care vor avea efect asupra securitii datelor din calculator. Un cod maliios mai este
ntlnit i sub denumirea de cale de atac, program vagabond, vandalizator. Codul maliios va
contribui la identificarea virusului crend aa-numita semntur a virusului.
Pentru c existena unui cod maliios n sistemele de calcul are aciune diferit prin
nsi construcia codului, este de preferat ca atunci cnd facem referire la aceste programe
maliioase s se in cont de gruparea acestora n urmtoarele categorii:
virui;
viermi;
cai troieni;
4

 bombe;
ci ascunse (Trap Doors / Back Doors);
spoofer-e;
hoax (pcleli);
alte tipuri de programe maliioase.
Un program maliios poate s aib, i sunt foarte multe astfel de cazuri,
comportamentul mai multor programe maliioase (virui). n aceast categorie se nscriu
viruii hibrizi. Datorit acestui comportament este greu de definit crei categorii i aparin
acetia. n realitate ntlnim acelai program maliios care are comportamente multiple.
Un virus este un fragment de cod program care se autocopiaz ntr-un mare numr de
programe i pe care le modific. Un virus nu este un program independent. Un virus i
execut codul program numai atunci cnd programul gazd, n care se depune, este lansat n
execuie. Virusul se poate reproduce imediat, infectnd alte programe, sau poate atepta, n funcie
de cum a fost programat, o anumit dat sau un eveniment la care s se multiplice. Virusul Vineri
13 (Friday 13th virus) se lansa n execuie la orice zi din an care era vineri i avea numrul 13.
Un virus va infecta USB-drive, HDD-ul, CD-ROM-ul, memoria flash i memoria intern.
De aici se poate rspndi cu ajutorul suporturilor de memorie portabile, conexiune la reea i
modem.
ntre virui i viermi (alt program maliios) se nasc uneori confuzii. Viruii sunt
considerai distructivi, iar viermii nedistructivi. Un virus altereaz sau distruge datele din
calculatorul infectat, n timp ce un vierme afecteaz buna funcionare a calculatorului.
Un vierme este un program independent. El se reproduce prin autocopierea de la un
calculator la altul prin intermediul reelei n cele mai multe cazuri. Spre deosebire de virus, un
vierme nu altereaz sau distruge datele din calculator, dar poate crea disfuncionaliti n reea
prin utilizarea resurselor acesteia pentru autoreproducere.
Noiunea de vierme informatic a fost introdus pentru prima dat n anul 1975 de ctre
scriitorul de literatur science fiction John Brunner n cartea The Shockwave Rider. Autorul
descrie un program cu numele tapeworm care triete n interiorul computerelor, se multiplic
de la calculator la calculator atta timp ct exist o conexiune la reea.
Un cal troian (uneori se folosete denumirea de troian) este un fragment de cod care
se ascunde n interiorul unui program i care va executa o operaie ascuns. Un Cal Troian
reprezint cel mai utilizat mecanism pentru a disimula un virus sau un vierme.
Un Cal Troian se va ascunde ntr-un program cunoscut sau o funcie apelabil, care nu
creeaz suspiciuni utilizatorului, dar care va lansa alte operaii ilegale. Utilizatorul poate s
lanseze n execuie un program aparent inofensiv, dar care are ncorporat n el un cod
neautorizat. Funciile neautorizate realizate de codul program inclus pot s lanseze un virus
sau un vierme.
O bomb este un tip de Cal Troian folosit cu scopul de a lansa un virus, un vierme sau
un alt tip de atac. O bomb poate fi un program independent sau o bucat de cod care va fi
instalat de un programator. O bomb se va activa la o anumit dat sau atunci cnd anumite
condiii sunt ndeplinite.
Tehnic, exist dou tipuri de bombe: de timp i logice. O bomb de timp se va activa
atunci cnd se scurge o anumit perioad de timp de la instalare sau cnd se atinge o anumit

dat calendaristic. O bomb logic va aciona atunci cnd se ndeplinesc anumite condiii
impuse de cel care a creat-o.
Cile ascunse (Trap Doors) sunt mecanisme care sunt create de ctre proiectanii de
software pentru a putea s ptrund n sistemul de calcul ocolind sistemele de protecie.
Aceste puncte de intrare n sistem sunt lsate intenionat de proiectani pentru a putea s testeze i monitorizeze programele sau n caz de refuz al accesului s poat s depaneze subrutina de acces. Trap doors-urile sunt folosite n perioada de testare i apoi sunt eliminate cnd
programul este livrat ctre utilizator. Acestea sunt eliminate n totalitate sau parial, dup caz.
n mod normal, un punct de intrare de tip Trap Door este activat de ctre persoana care
l-a creat. Sunt ns i cazuri cnd aceste puncte sunt descoperite i exploatate de persoane
ruvoitoare.
Ci ascunse (Back Doors) se pot crea cu ajutorul cailor Troieni. Mecanismul
presupune introducerea n calculatorul-int a unui program care ulterior s deschid ci de
acces ctre resursele acestuia. Caii Troieni sunt cei mai folosii pentru atingerea acestor
scopuri.
Spoofer-ele reprezint un nume generic dat unor programe care permit unui utilizator,
folosind anumite iretlicuri, s aib acces la informaiile din sistem. De regul, spoofer-ele,
sunt posibile cu ajutorul mecanismelor Cal Troian care vor activa programe care dau acces la
informaii.
Hoax (pclelile) sunt mesaje trimise prin e-mail care conin avertizri false despre un
virus existent i care cer s fie avertizate toate persoanele cunoscute. Uneori aceste avertizri
conin i fiiere ataate care sunt menite, chipurile, s stopeze sau s elimine presupusul virus.
Retrimiterea mesajului la alte destinaii face ca virusul s se multiplice fr ca cel care l-a
creat s-l proiecteze s se multiplice.
Dup cum se constat, nu orice program maliios este virus. Dac vrem s fim riguroi
nu trebuie s mai punem laolalt toate programele, sau codurile de program, care produc
pagube.
Pentru c toate aceste programe se comport aparent ca un virus biologic, au
primit denumirea generic de virus informatic.
Ca i virusul biologic, virusul informatic are nevoie de o gazd pentru a putea s
infecteze, s se reproduc, s se rspndeasc. Aceasta gazd este format din informaia
stocat pe suporturile de memorie. Majoritatea viruilor infecteaz fiiere program, din
aceast cauz poart i denumirea de virus de fiiere. Atunci cnd acest fiier, purttor de
virus, este lansat n execuie de un utilizator care nu tie de existena infeciei, codul maliios
este autoncrcat n memoria intern a calculatorului, este executat codul, se caut apoi un alt
fiier care s fie infectat i se autocopiaz n acesta. Aciunea unui virus informatic este
reprezentat schematic n figura urmtoare (figura 1).

Figura 1 Modul de actiune al unui virus informatic

Ciclul de via al unui virus este exemplificat n figura 2:

Figura 2 Ciclul de viata al unui virus

4.3.2 Categorii de virui informatici i modul lor de aciune

Programele maliioase (coduri maliioase) cu comportament de virui standard pot fi
grupate n mai multe categorii, n funcie de gazda purttoare. ntlnim viruii de:
fiier;
boot;
macro;
script;
e-mail;
Chat i Instant Messaging;
Hoax (pcleal).
Viruii de fiier reprezint cea mai rspndit categorie de virui. Acetia sunt i cei
mai distructivi. Viruii de fiier, numii uneori i virui de program, i depun codul maliios
ntr-un fiier program. Cnd programul respectiv este lansat n execuie virusul se copiaz n
memoria intern a sistemului de calcul i i lanseaz n execuie propriul program de
distrugere i de autocopiere. Trebuie s facem o distincie ntre viruii de fiier care afecteaz
fiierele executabile i viruii de macro care afecteaz fiierele de tip document. Viruii de
7

fiiere i-au fcut apariia n anul 1987, o dat cu descoperirea la Universitatea Ebraic din
Israel a virusului Jerusalem (Ierusalim).
Funcionarea unui virus de fiier este exemplificat n figura 3:

Figura 3 Modul de functionare al unui virus de fisier

Infectarea fiierului-gazd cu virus poate fi fcut n trei moduri distincte:

prin suprascrierea la nceputul programului-gazd;
prin salt la sfritul programului-gazd;
prin suprascrierea datelor rezultate n urma execuiei programului-gazd.
Virusarea prin suprascrierea la nceputul programului-gazd nu este prea des folosit
deoarece, n acest fel, programul-gazd va funciona anormal pentru c, dup ce se termin
secvena de cod a virusului inserat, se va trece la execuia programului-gazd dintr-o secven
care poate s duc la blocarea execuiei i la crearea de suspiciuni referitoare la buna
funcionare a calculatorului.
Acest mod de infectare este exemplificat n figura 4.

Figura 4 Virusarea prin suprascrierea la inceputul programului-gazda

Virusarea prin salt la sfritul programului-gazd presupune ca la nceputul fiieruluigazd s existe o instruciune de salt necondiionat la sfritul fiierului unde este ataat codul
maliios al virusului. Dup ce se execut codul virusului se face un salt napoi la nceputul
programului-gazd. n acest fel, programul-gazd va funciona fr s se blocheze. Se observ
ns, n acest caz, o mrire a dimensiunii fiierului-gazd (figura 5).

Figura 5 Virusarea prin salt la sfarsitul programului-gazda

Virusarea prin suprascrierea datelor rezultate n urma execuiei programului-gazd se

face prin inserarea codului maliios a virusului n zona rezervat datelor fr s se afecteze n
acest fel funcionarea programului. Acest mod de virusare este cel mai greu de detectat,
deoarece nu afecteaz n dimensiune sau coninut programul-gazd (figura 6).
Un virus de fiier mai poate fi descris ca fiind static sau polimorfic. Un virus se poate
adapta la anumite condiii oferite de sistemul de calcul sau de fiierul-gazd. Acest virus
poart denumirea de virus adaptabil.
Un virus de fiier este considerat ca fiind static dac, pe parcursul existenei acestuia,
nu-i schimb structura codului maliios. Codul rmne intact indiferent de numrul i de
amploarea infeciei create.

Figura 6 Virusarea datelor

Viruii de fiier polimorfici sunt capabili s-i schimbe semntura atunci cnd se
multiplic de la un sistem de calcul la altul. Din aceast cauz, aceti virui sunt foarte greu de
detectat, producnd, de aceea, cele mai mari dezastre.
Modul de infectare cu virui a fiierelor poate fi diferit de la virus la virus. O
clasificare a viruilor de fiier innd cont de modul de infectare este urmtoarea:
parazii;
suprascriere;
Entry-Point Obscuring;
de companie;
de legtur;
OBJ, LIB i virui cod surs.
Viruii parazii modific coninutul programului-gazd, dar las cea mai mare parte
din el intact. Aceti virui se ataeaz la nceputul sau la sfritul programului-gazd. n
anumite situaii, codul virusului se poate instala n zone nefolosite din fiier.
Viruii de suprascriere rescriu (suprascriu) programul-gazd cu propriul lor program.
n acest mod, programul-gazd nu mai este funcional.
Viruii de tip Entry-Point Obscuring folosesc o metod ingenioas de infectare a
programului-gazd. n programul-gazd se va introduce doar o mic secven de program
care, la ndeplinirea anumitor condiii, va lansa n execuie codul maliios al virusului aflat la
o alt locaie. Lansarea n execuie a programului-gazd nu va presupune i lansarea n
execuie a virusului, acesta ateptnd condiiile pentru a putea s-i lanseze programul
distructiv.
Viruii de companie nu atac n mod direct fiierul gazd, dar creeaz o copie a
acestuia care va fi lansat n execuie n locul originalului. n acest fel, fiierul original care
execut operaia de formatare a suporturilor de memorie format.com va fi clonat i redenumit
format.exe. Acest din urm fiier va conine de fapt virusul. Viruii de companie pot s
modifice i cile (paths) de acces n aa fel nct s se dea trimitere la fiierele clonate.
Viruii de legtur nu modific dect n mic msur coninutul programului-gazd.
La nceputul programului-gazd se va inocula o instruciune de salt (GOTO, JUMP) la o
locaie din afara gazdei care va conine codul virusului. Aciunea este similar cu cea descris
n modurile de infectare prin salt la sfritul programului gazd sau prin suprascrierea datelor
rezultate n urma execuiei programului-gazd.
Viruii OBJ, LIB i cod surs nu au o rspndire aa de mare. Acetia infecteaz
modulele obiect (OBJ), bibliotecile compilatoare (LIB), precum i codurile surs ale programelor-gazd.
n cea mai mare msur ns, viruii de fiiere afecteaz fiierele executabile (cu
extensiile EXE, COM etc.).
Cei mai cunoscui virui de fiier sunt: CASPER, Chernobyl, CRUNCHER, DieHard2, Fun Love, Jerusalem, Junkie, Magistr, Natas, Nimda, OneHalf, Plagiarist, Vienna.
Viruii de boot pot s infecteze sectorul de boot de pe discurile flexibile sau dure. Pe
discurile dure infecteaz de regul zona de MBR. Pot fi foarte distructivi, putnd bloca
sistemul de calcul n timpul operaiei de boot-are. De asemenea, pot s distrug ntreaga
informaie de pe discuri, de regul de pe discul dur. Apariia i recrudescena acestor virui i
face simit prezena nc de la apariia primelor suporturi de memorie de tip disc flexibil pe
10

care le infectau i pe care le foloseau ca purttoare pentru rspndirea lor. Fa de alte tipuri
de virui, acetia i-au limitat aciunea datorit limitrii folosirii din ce n ce mai puin a
discurilor flexibile. Nu nseamn ns c au disprut n totalitate.
Singurul mod de infectare cu un virus de boot este de a se ncrca sistemul de operare
de pe o dischet care conine un virus de boot. Aceasta dischet, la rndul ei, a fost infectat
de pe un calculator care coninea un virus de boot.
La punerea sub tensiune a sistemului de calcul pornirea acestuia, se execut n mod
normal urmtoarele aciuni n procesul de ncrcare (boot-are) (figura 7).

Figura 7 Procesul normal de boot-are

Procesul de boot-are este modificat considerabil atunci cnd sistemul este infectat cu
un virus de boot (figura 8).

Figura 8 Procesul de boot-are de pe un disc virusat cu virus de boot

11

Virusarea discurilor flexibile cu virui de boot se face prin suprascrierea codului

existent n zona sectorului de boot cu cel al virusului.
Virusarea discurilor dure cu virui de boot se poate face n trei moduri:

virusul va suprascrie codul MBR;

virusul va suprascrie sectorul de boot;
virusul va modifica adresa sectorului de boot ctre o adres care va conine codul
virusului.

Virusul va muta, n majoritatea cazurilor, sectorul original de boot ntr-o alt zon
liber de pe disc. Din aceasta cauz, eliminarea virusului i a efectelor acestuia de pe discurile
dure pot fi realizate prin comanda ascuns DOS FDISK/MBR executat de pe un disc flexibil
boot-abil nevirusat care va conine i aceast comand.
Odat lansat n execuie, virusul rmne rezident n memorie i va infecta discurile
flexibile folosite.
Interesant de remarcat la aceast categorie de virui este modul lor de aciune fa de
ali virui de acelai tip. Pentru c acest tip de virui ocup aceeai zon de pe disc, MBR sau
sectorul de boot, nu pot exista mai muli virui de boot pe un disc. Ultimul virus instalat l va
terge pe cel existent pe disc.
Cei mai cunoscui virui de boot sunt: Frankenstein, KULROY-B, Matthew,
Michelangelo, PARITY, Stoned.
Virui de macro, sau macro-virui, infecteaz fiierele de tip document. Nu trebuie
confundai cu viruii de fiier care afecteaz fiierele executabile. Viruii de macro tind s ia
locul, ca modalitate de rspndire fizic, viruilor de boot. Dac viruii de boot se rspndesc
cu ajutorul dischetelor purtate de la un utilizator la altul, viruii de macro se rspndesc cu
ajutorul documentelor transmise ntre utilizatori. Fa de viruii de boot, viruii de macro sunt
mult mai numeroi, atingnd un numr de aproape 5000. Pentru c infecteaz fiiere de tip
document, care sunt portabile pe diferite platforme, pot afecta att sistemele Windows, ct i
Macintosh.
Virusul exploateaz o aplicaie auto-execution macro care este lansat automat n
execuie cnd documentul este deschis. Lansat n execuie, comanda macro care conine
codul maliios al virusului va putea s tearg sau s modifice poriuni de text, s tearg sau
s redenumeasc fiiere, s se multiplice i s creeze alte tipuri de distrugeri. Muli virui de
macro se autocopiaz n fiierul normal.dot care este lansat n execuie (n Microsoft Word)
ori de cte ori este deschis un document. n acest fel, noul document deschis va fi infectat.
Viruii de macro afecteaz fiierele cu extensiile: DOC i DOT create cu Microsoft
Word; XLS i XLW create cu Microsoft Excel; ADE, ADP, MDB i MDE create cu
Microsoft Access; PPT create cu Microsoft PowerPoint; SAM create cu Lotus Ami Pro;
CSC create cu Corel Draw i Corel Photo-Paint.
Cei mai rspndii virui de macro sunt cei care afecteaz platformele Microsoft. i
aceasta nu din cauz c aceast platform este mai vulnerabil ca altele, ci din cauz c cele
mai multe documente sunt create cu aceasta.
Funcionarea unui virus de macro este exemplificat n figura 9.

12

Figura 9 Functionarea unui virus de macro

Viruii de script sunt creai cu ajutorul unor limbaje numite limbaje script sau
scripturi. Exist mai multe limbaje script care sunt folosite de la scrierea de programe pentru
sistemele de operare i pn la crearea paginilor Web. Deosebirea dintre limbajele script i
limbajele tradiionale este aceea c, fa de limbajele de programare ca C sau Visual Basic,
scripturile sunt mai puin complexe. Scriptul reprezint de fapt un cod de program scris cu un
limbaj script. Instruciunile script sunt executate pe rnd n mod secvenial. Un fiier script
este similar cu un fiier de comenzi BATCH din vechile sisteme de operare de tip DOS.
Se poate face observaia c un virus de macro reprezint de fapt un tip de virus de
script deoarece un limbaj macro este la ora actual un limbaj script. Cele mai cunoscute
limbaje script sunt: Visual Basic Script (VBS), JavaScript (JS) i ActiveX.
O clasificare a acestor virui poate fi fcut dup limbajele care sunt folosite pentru
crearea acestora. Cele mai cunoscute sunt: Visual Basic Script, Windows Script, ActiveX,
JavaScript, HTML, MIME, PHP.
Visual Basic Script este cel mai popular n crearea acestor virui. Visual Basic Script
este o versiune script a limbajului de programare Visual Basic. Un VBS va conine linii de
comand care vor fi executate secvenial la lansarea n execuie a fiierului care le conine.
Windows Script permite sistemelor de operare Windows, prin intermediul lui
Windows Script Host (WSH), lansarea n execuie a diferitelor fiiere create cu ajutorul unui
limbaj script. Fiierele create cu ajutorul unor limbaje script VBS, ActiveX sau JavaScript
au extensia VHS i pot s modifice funciile sistemului de operare.
ActiveX reprezint o tehnologie folosit de ctre Microsoft pentru vizualizarea
paginilor Web. Controalele ActiveX sunt folosite pentru gestionarea paginilor Web atunci
cnd sunt ncrcate ntr-un browser de Web i pot include contoare de vizitatori, butoane etc.
ActiveX este creat folosind limbajul ActiveX script. Modificarea acestuia poate duce la
deteriorarea sau pierderea datelor din calculator. Browser-ul Internet Explorer de la Microsoft
13

(la versiunile mai vechi de sisteme de operare) avea o serie de goluri de securitate n aceast
privin. n unele cazuri, utilizatorul recurgea la dezactivarea controalelor ActiveX pentru a
putea s-i asigure securitatea.
JavaScript este un limbaj script derivat din Java i are foarte multe asemnri cu
ActiveX. A fost creat pentru a fi ncorporat n codul standard HTML la crearea paginilor Web.
Poate fi lansat de ctre Windows Scripting Host i este ncorporat n paginile Web i pot
electronic.
HTML reprezint un cod folosit pentru crearea paginilor WEB. Un cod simplu HTML nu
poate conine un virus, dar o pagin Web creat cu acesta poate conine virusul prin ncorporarea
VBS, JavaScript sau ActiveX.
MIME face posibil exploatarea unui gol de securitate din Outlook sau Outlook Express
care permite vizualizarea automat a unui mesaj. Dac acest mesaj va conine virusul, acesta i va
lansa codul distructiv.
PHP este un limbaj script folosit la nivel de server pentru crearea paginilor Web dinamice.
Pe lng aceste modaliti de creare, lansare i multiplicare a viruilor de script se mai
ntlnesc i cele care acioneaz la nivelul fiierelor cu extensia INF i REG din sistemele de
operare Windows. Modificarea neautorizat a acestor fiiere va duce la disfuncionaliti ale
sistemului.
Viruii de e-mail se folosesc de faptul c e-mail-ul reprezint cea mai utilizat
aplicaie Internet din zilele noastre. Zilnic fiecare utilizator transmite i recepioneaz mesaje
n format electronic. Beneficiile sunt evidente n acest caz. Reversul este c tot prin e-mail se
transmit i coduri maliioase virui informatici.
Posibilitatea de a folosi pota electronic pentru transmiterea de virui a fost fcut
posibil datorit evoluiei tehnicii. Primele mesaje de e-mail erau trimise i recepionate n
text clar (plain text) fr posibilitatea de a se putea insera un virus n acest mesaj. Numai c
utilizatorul nu avea posibilitatea de formatare a textului. Nu se putea scrie cu litere groase,
nclinate, colorate, de diferite mrimi etc. i nici nu era nevoie. Conta doar informaia
transmis de textul n sine i nu de artificiile pe marginea textului. Numai c tehnica a evoluat
i s-a fcut trecerea de la Plain Text e-mail la HTML e-mail. i o dat cu acesta a aprut i
posibilitatea de a se transporta virui cu ajutorul e-mail-ului.
Un e-mail n format HTML este ca o pagin web HTML. Iar o pagin web HTML are
ncorporate controale ActiveX i applet-uri JavaScript care pot s conin i s lanseze coduri
maliioase. Viruii care se transmit prin e-mail sunt de fapt virui de script i nu virui de email n accepiunea standard. O alt modalitate de transmitere a unui virus este de a-l ataa ca
fiier de mesajul scris n mod plain text.
Pentru rspndirea viruilor cu ajutorul potei electronice se folosesc n principal trei
modaliti:
prin ataamente, utiliznd tehnica de Cal Troian;
prin exploatarea golurilor de securitate, MIME exploit;
prin ncorporarea codului maliios n mesaje HTML.
Rspndirea viruilor prin fiiere infectate ataate la mesajul text este cea mai comun
cale i cea mai utilizat. Dac destinatarul nu lanseaz n execuie fiierul care conine virusul
nu se ntmpl nimic. Dac ns se trece la execuia acestuia atunci codul maliios al virusului

14

este executat i virusul va executa operaiile pentru care a fost proiectat i se va multiplica i
rspndi.
Virui de Chat i Instant Messaging
Serviciul de Chat este asigurat de servere specializate dintr-o subreea Internet numit
Internet Relay Chat (IRC). Aceasta permite ca doi sau mai muli utilizatori s poarte discuii
(chat) individuale sau de grup i s schimbe ntre ei fiiere folosind un canal de comunicaie.
Utilizatorii unui canal se numesc membri ai acelui canal. Protocolul folosit n transmisie este
DCC.
Utilizatorul va putea cu ajutorul unui program, cum ar fi mIRC, s se conecteze la un
server de chat i s iniieze un grup de discuii.
Folosind acest mediu creat, un virus se va putea multiplica i va putea infecta
calculatoarele din reea n dou moduri distincte:
prin transferul de fiiere infectate ntre utilizatori;
prin folosirea scripturilor IRC.
Infectarea prin transferul de fiiere infectate ntre utilizatori este destul de simplu de
realizat. Atacatorul va trimite ctre int un fiier care se vrea s fie util destinatarului. Acesta
poate s fie un fiier de ajutor, un program utilitar, un mic joc, un fiier cu documentaii sau o
imagine. O dat ce destinatarul va deschide fiierul trimis, virusul se va activa i-i va lansa
programul distructiv.
Infectarea prin folosirea scripturilor IRC presupune scrierea de scripturi care vor
conine instruciuni care se vor executa secvenial. O dat acceptate de ctre destinatar sau
destinatari, aceste scripturi se vor substitui automat n fiierele similare din calculatorul-int
i vor iniia atacul.
Virui pcleal (Hoax)
Acetia reprezint o categorie special de virui care se bazeaz pe credulitatea aceluia
care poate s devin inta unui atac. Mesaje de e-mail sau ferestre aprute n timp ce faci
browsing de genul Ai ctigat o excursie n, Ai ctigat o sum de, Calculatorul tu
are un virus, Trimite acest mesaj la toi cunoscuii ti i vei avea noroc, cu invitaia de
a trimite sau de a confirma cu opiunea Yes, sunt destul de frecvente n Internet. Uneori, acest
tip de virui, mai ales cei care apar n ferestre browsing, acioneaz chiar i atunci cnd se
alege opiunea No (Nu). Din aceasta cauz, este indicat s se nchid fereastra din opiunea
Close (X), din Taskbar Close, sau apsnd perechea de taste Alt+F4.
4.3.3 Sprgtoare de parole i utilizarea lor n testarea securitii firmei
Protejarea prin parole a accesului la resursele sistemului de calcul sau protejarea n
acelai mod a accesului la fiiere reprezint cea mai des utilizat i mai la ndemn metod
de protecie a datelor din calculatoare.
n majoritatea cazurilor sistemul de parole este folosit pentru autentificare i
identificare n limitarea accesului, dar poate fi folosit i pentru protecie la nivel de fiier sau
folder.
Un sprgtor de parole este un program care poate determina parolele sau care poate
evita sau dezactiva protecia prin parole. n literatura de specialitate termenul poate fi ntlnit
sub denumirile de password cracker sau password recovery. Programele din aceast
categorie i bazeaz succesul pe folosirea algoritmilor care prezint slbiciuni, implementri
15

greite ale acestora i factorul uman. Un sprgtor de parole este cu att mai eficient cu ct
parola folosit este mai simpl de gsit i cu ct programul de spart parole ruleaz pe un
calculator performant.
Ca tehnici de atac pentru ghicirea parolei se folosesc urmtoarele:
atac prin fora brut;
atac folosind dicionare.
Atacul folosind ca tehnic fora brut este un program care ncearc s gseasc,
ncercare dup ncercare, parola corect. Aceasta presupune generarea, dup un anume
algoritm, de cuvinte care sunt apoi testate ca parol. Folosirea combinaiilor de 10 cifre, 26 de
litere i alte simboluri existente pe tastatur fac ca procesul s fie de lung durat. Folosirea
unui calculator performant reduce considerabil timpul. De asemenea, dac parola este scurt
sau folosete combinaii doar de cifre sau de litere, timpul este redus.
Atacul folosind dicionare presupune existena unui fiier dicionar (dictionary file)
care conine o list de cuvinte folosite n algoritmul de generare a parolei. Programul va folosi
datele din acest dicionar pentru a ncerca spargerea parolei.
Scanere i utilizarea lor n testarea securitii firmei
Scanerul este un program utilitar folosit pentru detectarea automat a punctelor
slabe n securitatea unui sistem. Cu ajutorul scanerului, un utilizator va putea s verifice, local
sau la distan, punctele prin care se poate ptrunde ntr-un sistem i ulterior s acopere aceste
goluri de securitate. Dac acest instrument este utilizat ns de o persoan ruvoitoare, care
posed cunotine avansate n domeniu, securitatea calculatorului int sau a sistemului va fi
serios afectat. Construite iniial pentru a crete securitatea, scanerele, ajunse de cealalt parte
a baricadei, pot crea serioase probleme n asigurarea securitii.
Nu trebuie fcut ns confuzie ntre utilitarele de reea i scanere. Un utilitar de reea
este un program folosit pentru investigarea unei singure inte. Un scaner va efectua automat
operaiile pentru care a fost proiectat, n timp ce un utilitar de reea va efectua numai
operaiile dictate de un utilizator. O alt deosebire este aceea ca un scaner las de multe ori
urme ale aciunii lui, n timp ce un utilitar nu las urme.
Traceroute, showmount, host, rusers i finger de pe platformele UNIX precum i
Netscan Tools, Network Toolbox, TCP/IP Surveyor de pe platformele Windows sunt
utilitare de reea.
Majoritatea scanerelor sunt folosite pentru a testa porturile TCP, adic acele porturi
care folosesc serviciile TCP/IP.
Un scaner va trimite ctre int o serie de pachete i va testa rspunsul la acestea. n
funcie de rspuns se va alege o cale de atac.
Principalele atribute ale unui scaner sunt:
capacitatea de a gsi un server, o reea sau un calculator partajat n reea;
capacitatea de a determina ce servicii ruleaz pe acesta;
capacitatea de a testa serviciile pentru a se determina eventualele vulnerabiliti.
O scanare de porturi va trebui s fie executat cu mare vitez deoarece alocarea unui
timp prea mare va putea fi sesizat. Pentru atacul la distan, folosind reeaua Internet,
atacatorul trebuie s dispun de puternice resurse hardware i de o lime de band suficient
mai ales dac se iniiaz un atac asupra mai multor locaii.
4.3.4

16

Atacatorul va trebui ca nainte de iniierea unui atac s-i mascheze propria poziie. n
caz contrar, va putea fi detectat. Pentru aceasta se folosesc programe de ascundere a
identitii. Aceste programe ascund adresa IP.
Un program performant folosit pentru scanare va aloca i foarte puin timp operaiei,
va ascunde identitatea IP a atacatorului i va culege rapid informaiile necesare unei
intruziuni.
Momentele de timp bine alese pot s asigure o plaj mai mare de timp necesar
efecturii uneia sau mai multor scanri. Aceste momente se aleg pe baza presupunerilor
referitoare la personalul care deservete calculatorul int vizat. Momentele n care personalul
este n pauza de mas sau la nceperea i terminarea lucrului, la nceput sau sfrit de
sptmn pot fi alese ca moment de scanare tiut fiind c la acele momente atenia este mai
redus.
Atacul cu ajutorul scanerelor poate fi detectat uor dac calculatorul int dispune de
capacitatea de nregistrare a activitilor. Stoparea unui scaner poate fi fcut uor cu ajutorul
unui dispozitiv firewall.
Cele mai utilizate scanere sunt NSS (Network Security Scanner), Strobe, SATAN
(Security Administrators Tools for Analyzing Networks), Jakal, IndentTCPscan,
Xscan, Xsharez, Advanced Port Scanner, Super Scan, Angry IP Scanner.
4.3.5 Folosirea interceptoarelor de trafic pentru accesul la datele firmei
Interceptarea traficului dintr-o reea constituie o alt cale de a sustrage informaia.
Un interceptor (sniffer) este o component, software sau hardware, proiectat s
asculte i s captureze informaiile vehiculate n reea.
Nu trebuie s se fac confuzie ntre interceptoare de trafic (sniffer-e) i programe
utilitare de capturare a tastelor (key strokes). Utilitarele de captur a tastelor vor culege i
stoca toate tastele i combinaiile de taste apsate, ulterior urmnd s fie analizate n vederea
cutrii de informaii. Sunt folosite de regul pentru capturarea parolelor. n schimb,
interceptoarele vor captura traficul din reea indiferent de protocolul folosit.
Un interceptor reprezint o ameninare serioas la adresa securitii deoarece cu
ajutorul acestuia se pot efectua urmtoarele operaii:
capturarea parolelor;
capturarea informaiilor secrete;
testarea vulnerabilitii n alte reele.
Pentru capturarea traficului trebuie ndeplinite anumite condiii:
arhitectura reelei s permit acest lucru;
configurarea plcii de reea n mod neselectiv (promiscuous).
Cel mai cunoscut mod de interconectare a calculatoarelor n reea se realizeaz cu
ajutorul tehnologiei Ethernet. Tehnologia Ethernet permite interconectarea calculatoarelor cu
condiia ca acestea s posede componente hardware, ct i software care s permit
transportul pachetelor Ethernet. Cerinele hardware presupun existena unei placi de reea
(NIC), a unui cablu de interconectare (sau alt modalitate) i, evident, a unui calculator.
Software-ul minim necesar se compune dintr-un driver pentru pachete Ethernet i un driver
pentru placa de reea. Driverul de pachete Ethernet va asigura transportul informaiei n
ambele sensuri i are rol de legtura ntre placa de reea i protocolul Ethernet.
17