Securitatea calculatoarelor

Cel mai comun soft care tine de securitatea si sanatatea PC-ului si care nu ar trebui sa lipseasca este antivirusul. Rolul acestuia este de a bloca si elimina virusii. Trebuie inteles prin virus(sau mallware) orice program care se executa si care are rol distructiv sau face lucruri care nu sunt solicitate de utilizator (definitia ar putea fi mai vasta); a nu se face confuzie cand se spune program care se executa, astfel de program nu este necesar sa fie cu extensia exe poate fi pif, com, etc(mai nou si mp3), sau poate fi ascuns ca macro intr-un document Word, deci cu extensia doc, poate fi un script Java, etc. Cei mai distrugatori virusi (din punct de vedere a costurilor implicate) sunt considerati cei cunoscuti sub numele de worm, vierme, un virus care se propaga de la un calulator la altul; tipul acesta de virus in general este polimorf, adica isi schimba semnatura la un anumit interval de timp sau de la host la host. Odata intrat in sistem datorita wormului , cel care a creat virusul poate face orice cu acel host. Trebuie inteles ca programele antivirus ca orice program, nu sunt perfecte. Un antivirus detecteaza virusii pe baza semnaturii acestora (semnatura=in general bucata de cod specifica programului), asta inseamna ca pentru a fi sigur ca nu ai virusi trebuie sa descarci de pe site-ul producatorului, ultimul update la baza de semnaturi a antivirusului, evident ca trebuie sa apara intai update-ul, care poate dura intre cateva zeci de minute si 3-4 zile; o alta metoda de a detecta virusii este cea numita detectie "heuristic" si care practic foloseste o semnatura a unui virus ca referinta , si daca gaseste o semnatura care este similara pana la un anumit punct(deci nu exacta) cu cea de referinta atunci considera ca este virus, aceasta metoda de scanare a aparut ca raspuns la virusii polimorfi (care isi schimbau o parte din semnatura la un interval de timp sau cand infecta un nou host(gazda)), din pacate metoda nu s-a dovedit eficienta datorita numeroaselor alarme false pe care le genera, asa ca prima metoda a ramas cea mai buna, dar asta inseamna sa iti aduci update-urile periodic. Bineinteles ca mai sunt si alte metode de detectie dar care nu s-au dovedit prea eficiente(unele programe antivirus fac o imagine a fisierului cu registrii, sau a fisierelor sistem, pt a le compara mai tarziu, etc). Un lucru elementar ar trebui indeplinit: a se scana orice soft care se aduce in PC (joc, program, etc); singurele fisiere care deocamdata nu trebuiesc scanate (din cate stiu eu) sunt fisierele "muzicale" ( wav,etc), fisierele imagine (tif, bmp, jpg...) si cele movie (avi, mpg....). Toate programele antivirus au posibilitatatea de a sta in background, asta inseamna ca va scana orice fisier/program care este accesat, acest lucru este bun, dar poate manca resurse (in special ram si procesor). Recomandari de antivirusi(in ordinea preferintelor personale): Avira (care nu "ingenuncheaza sistemul si este si gratuit), BitDefender (ajuns la versiunea 2010 are incorporat si firewall si poate restrictiona "iesirea" programelor din PC, romanesc, cea mai buna detectie dar slaba dezinfectie), FProt (un antivirus cu dezinfectie buna, dar detectie mai slabuta, ce are foarte bun este faptul ca poate scana si de sub DOS), Kaspersky AV, NOD32(bunicel) , MCAfee AV (scanare medie, dezinfectie buna), F-Secure AV (mediu), Norton AV(scanare medie si agresiva - mi s-a intamplat sa intru la un coleg in PC prin maparea unei partitii iar NAV a inceput sa scaneze partitia respectiva, dezinfectie buna), Panda (mediu). Un alt gen de program care nu trebuie sa lipseasca(mai ales daca avem acces la net) este un program de tip firewall; acesta a fost conceput ca un filtru software pentru conexiunile cu exteriorul PC-ului, practic acesta filtreaza tot ce trece prin porturi si in

functie de criteriile stabilite, permite accesul sau nu si in plus ascunde identitatea calculatorului pe net. Ce sunt portule ? Desi exista un singur cablu prin care "intra/iese" netul din punct de vedere hardware(UTP, cablu tip modem, STP, etc) totusi din punct de vedere software sistemul de operare poate accesa netul prin mai mult "portite" (usi) numite porturi. In domeniul calculatoarelor ca si la oameni, calculatoarele pentru a comunica intre ele si pt a se "intelege" trebuie sa foloseasca acelasi protocol (ca la oameni, pt a se intelege ar trebui ca ambii sa vorbeasca aceeasi limba); protocolul este un set de reguli care spune cum si in ce conditii va avea loc transmisia de date, in general SO (sistemele de operare) cunosc mai multe protocoale (un exemplu ar fi suita de protocoale TCP/IP). In functie de protocol, acesta va folosi un port diferit pentru acces in afara PC-ului, de exemplu protocolul http (folosit pt browsing pe internet) foloseste portul 80 (se poate atasa unui protocol alt port , dar asta ar inseamna ca si la celalalt capat al firului , pc-ul de acolo trebuie sa stie ca pt protocolul respectiv se foloseste alt port, altfel nu se va putea realiza transferul de date cu ajutorul protocolului respectv; in general aceasta schimbare e rar intalnita , si numai din motive de securitate), astfel calculatorul stie ca daca primeste date prin portul 80(de exemplu) atunci de datele respective se va ocupa protocolul http; ca numar sunt cateva mii de porturi, si doar cateva zeci sunt specifice unor protocoale (20 ftp, 21 transfer date ftp, 80 http, etc). Protocoalele au in general porturi specifice (ex: se stie ca pt protocolul http este portu specific cu nr 80) denumite porturi "Well Known". Buuun, deci porturile sunt calea de acces (din punct de vedere software) a programelor din si inspre PC. In mod normal daca nu este specificat(desi mai nou SO-urile vin cu unele porturi inchise, desi eu cred ca ar fi trebuit sa vina cu majoritatea inchise), porturile sunt deschise, deci cine vrea sa intre in PC poate doar printr-un port deschis, aici intervine rolul firewall-ului care trebuie sa permite accesul sau nu in PC (prin porturi), acesta poate fi considerat gardianul-software de la usa pc-ului. In mod normal firewall-ul ar trebui sa lase deschise porturile "well known" si sa inchida restul, dar din pacate nu este intotdeauna asa. La un firewall trebuie sa existe optiunea de a opri/permite accesul unui anumit IP (adresa logica al unui PC) sau sa opresca/permita accesul prin anumite porturi. De exemplu se stie ca Windows-ul are deschis portul 139(se pare ca unele versiuni de XP cu SP2 il au inchis), de care nu este legat nici un protocol specific, recomandarea mea este sa se inchida portul respectiv. Practic cei care cauta sa intre in PC (neautorizat) scaneaza porturile cu programe specifice, dupa ce s-a descoperit un port deschis se poate intra in PC fara prea multe probleme. Deci pt cei care au net (chiar si ocazional, gen conexiune dial-up) recomand sa aiba un firewall instalat. Mai nou, majoritatea programelor tip firewall suporta si o noua functie, aceea de a restrictiona iesirea programelor pe net, de exmplu daca deschidem Internet Explorer-ul si scriem o adresa , atunci firewall ne va atentiona daca permitem ca programul respectiv sa acceseze netul, daca nu ii vom permite, atunci firewall il va bloca, iar programul va da o eroare prin care v-a spune ca nu poate contacta locatia ceruta deoarece nu detecteaza o conexiune, desi conexiunea exista; se poate seta ca pt anumite programe(cel mai des folosite) sa numai intrebe de permisiune ci sa i se garanteze accesul aplicatiei la net. Recomandari de firewall(in ordinea preferintelor personale): Comodo Firewall(gratuit , mult mai bun si decat majoritatea celor pentru care trebuie platit), BlakIce ( foarte usor de controlat, dar cu o interfata mai putin prietenoasa), cel incorporat in BitDefender, Zone Alarm (e free), Tinny Personal Firewall, Norton Personal Firewall,

Outpost Firewall, etc. Si Windows-ul XP are un firewall incorporat, dar este rudimentar si nu il recomand spre folosire. Un alt tip de program care poate afecta utilizatorul este cel care intra in categoria adware/badware/spyware/internet monitoring. Definitiile sunt: adware = o aplicatie in care sunt afisate reclame (banere publicitare) in timp ce programul ruleaza, badware/spyware = orice aplicatie care trimite date unei terte parti fara a cere permisiunea utilizatorului, internet monitoring= orice aplicatie care trimite informatii despre locatiile vizitate pe net. In general programele au tendinta sa faca parte din mai multe categorii, adica sa fie si adware si spyware. Aceste programe vin odata cu alte programe, de exemplu FlashGet (un download manager foarte popular) in varianta free are un adware, si in varianta atat free cat si full (cel putin pana la versiunea 1.3) contine un spyware, Gator (parca asa se numea). Player-ul RadLight vine cu spyware Alexa. La un moment dat e greu sa mai spui daca e vorba de spyware sau nu , de exemplu Windows Media Player 9 are o functie care ii permite sa se conecteze la un anumit interval de timp la site-ul producatorului pt a face download la update, dar numai progaramatorul lui stie ce informatii trimite, iar functia nu se poate dezactiva decat prin inlaturarea programului. Sunt unele programe care prin inlaturarea programului adware/spyware din el, atunci programul nu v-a mai functiona. Pentru a scapa de genul acesta de intrusi recomand programul Lavasoft Ad-Aware(foarte bun si free, usor de facut update,www.lavasoft.com) si Spybot Search & Destroy(foarte bun si free, usor de facut update),Spy Sweeper, Spyware Doctor, MicrosoftAntiSpyware. Spybot Search & Destroy e folositor mai ales pt troieni. Din pacate se observa ca programele antiadware detecteaza doar o parte (70-80%) din probleme, atunci se recomanda folosirea a 2-3 programe in paralel (scanarea sa se faca succesiv cu 2-3 programe). Un link util ar fi http://www.adwarereport.com. Ca si la antivirusi se recomanda update periodic la semnaturi(practic aceste programe scaneaza pe dupa o baza de semnaturi). Un alt program (mai bine zis suita) care nu ar trebui sa lipseasca din calculatorul fiecaruia este Symantec Norton Utilities si Norton Ghost care fac parte din Norton Systemworks. Din aceasta suita recomand Speed Disk sau separat O&O Defragmenter (este echivalentul Disk Defragmenter din Windows, doar ca este mai bun; cei care nu stiu aceste programe defragmenteaza fisierele, in general fisierele sunt inregistrate pe hdd in clustere (grupuri de bytes) , dimensiunea unui cluster se poate modifica dar asta inseamna ca veti pierde toate datele de pe hdd, in general clusterele au 32 KB, un fisier de 76 KB va ocupa 3 clustere (teoretic 2 si un pic, dar un cluster daca are si un byte ocupat, alt fisier diferit numai poate fi scris in clusterul respectiv, in locul ramas liber), cu cat clusterele sunt mai mici ca dimensiune cu atata se pierde mai putin spatiu(din clusterele necompletate full), dar cu cat sunt mai multe clustere cu atat SO v-a pierde din viteza; optim sunt clusterele de 32 KB. Problema apare cand se modifica frecvent un anumit fisier, de exmplu scrii un doc, dupa care vii si copii o melodie pe hdd, SO va pune melodia in continuarea fisierului doc, modifici iar docul, scriind mai mult, ce s-a scris in plus SO v-a salva unde are loc, adica in continuarea melodiei, deci fisierul doc este fragmentat in cel putin 2 parti (si se poate continua), aici intervine programul de defragmentare care are rolul de a lipi fragmentele si a pune fisierul continuu pe hdd, astfel SO nu v-a mai pierde timpul incercand sa acceseze si sa caute fragmentele peste tot pe hdd. Alt program din suita care este foarte bun este Norton Disk Doctor (echivalentul lui Scandisk din Windows, doar ca este mai bun) sau O&O Defrag. Alt program din suita

care este foarte bun este si Norton Win Doctor , care scaneaza hdd-ul pt a gasi erori la SO (link-uri lipsa, programe lipsa, registrii nestersi, etc), acesta este mai bun (chiar si pt registrii) fata de alte programe similare de pe piata deoarece nu are o metoda de detectie agresiva , si deci nu exista riscul sa stergi fisiere sau registrii care inca mai sunt folositi de programe. Programul Norton Ghost este genul de program cu care poti face backup la partitii(suporta fat16, fat32, ext2,..), la SO (chiar si linux); este un lucru bun sa faci un backup la partitia pe care este SO, astfel incat daca este compromis calculatorul (virus, conflicte soft , etc) atunci nu trebuie decat sa formatati partitia cu SO si sa puneti SO din fiserul de backup ceea ce nu dureaza mai mult de 15 minute, ca sa ai un SO fresh si necompromis. In timp datorita instalarii/dezinstalarii programelor se incarca fisierul de registrii cu multe intrari care numai sunt valabile, pentru curatat registrii recomand EasyCleaner si jv16 Power Tools. Un program bun pt tweking si security este si XP-AntiSpy v3.x, cum ii zice si numele, acest program dezactiveaza unele setari considerate ca fiind din categoria spy, fiecare optiune este explicat de help-ul programului; pt a fi activa o optiune trebuie sa fie bifata cu verde. Un alt program care nu ar trebui sa lipseasca este Ntregopt care este freeware si se gaseste la http://home.t-online.de/home/lars.hederer/erunt ; dupa instalarea si dezinstalarea programelor se observa ca dimensiunea fisierului de registrii este tot mai mare, si chiar daca se inlatura intrarile inutile, dimensiunea ramane aceeasi : o cauza este faptul este fragmentarea acestora care se produce deoarece Windows nu indeparteaza efectiv si locul ocupat de cheilede registri sterse ramanand asa numitele hives, acestea sunt eliminate de programul Ntregopt. Cam astea ar trebui sa fie minimul de programe care sa nu lipseasca din calculatorul unui utilizator obisnuit. Recomand ca la toate programele instalate sa se aduca ultimele versiuni sau sa fie cu update-urile la zi, chiar si SO sa fie cu patch-urile la zi, dupa aceasta operatie veti observa ca SO se misca mai bine si numai este afectat de problemele de securtate cunoscute (gen mblast care restarta calculatorul). La Windows se poate aduce ultimele update-uri din Internet Explorer/Tools/Windows Update; se da scan si se astepta pana termina. Recomand doar instalarea update-urilor considerate critical. Mai nou cei de la Microsoft verifica daca licenta e piratata cand folosesti Windows Update, iar daca e piratata nu te lasa sa download-ezi, iti da o eroare, pt cei cu astfel de probleme se poate rezolva fie luand patch-urile de pe http://www.softwarepatch.com sau folosind programul Autopatcher Xp. Cea mai sigura cale de a rula un program "suspect" este de a se da clic cu butonul drept pe fisierul executabil al programului, vom vedea in meniu optiunea "Run as" (daca nu apare , cand se da clic cu butonul drept sa se tina apasata si tasta Shift), se bifeaza "Curent user" si "Protect my computer and data from unauthorized program activity"(bineinteles ca se poate alege si alt user), acest mod da voie programului sa citeasca registrii dar nu da voie programului sa modifice registrii, mai mult, daca aveti partitia formatata NTFS, programul nu va putea altera/modifica nici un fisier asociat cu profilului curent; partea proasta e ca unele programe solicita modificarea registriilor, deci ramane la latitudinea fiecaruia sa hotarasca daca programul e "suspect".

Referat realizat de http://www.referate-online.org