Documente Academic
Documente Profesional
Documente Cultură
Sisteme antivirus:
1988 – se discutau despre metode de dezinfectare
Primii antivirusi doar scanau
In SO monotasking – antivirusi TSR(Terminate and Stay Resident)
In SO multitasking – antivirusi ca procese separate
In present – antivirus, antimalware, antispyware, antiadware, firewall,
linkscanner, antiphishing
Tipuri de antivirusi:
Standalone – pc personale
Pt servere, mailservere, routere etc.
Metode de scanare:
Bazate pe semnatura – compararea semnaturii fisierului infectat cu
semnaturi ale virusilor memorate in baza de date
Euristice – nu recunoaste secvente din cod ale virusului, dar detecteaza
sabloane de comportament in cadrul fisierului infectat
Primii virusi:
ELK Cloner 1981 – virus de boot infecta pc Apple II
Brain 1986 – afecta pc-urile IBM-PC, scris initial pt detectarea versiunilor
de software piratat
Whale 1990 – primul virus polimorfic
Virusi celebri:
1. CIH 1998
a. Defectiuni de BIOS
b. Creat in Taiwan si programat sa se activeze cu un an mai tarziu
c. Autor Chen Ing Hau – nu a fost pedepsit (practic nu a incalcat legea)
d. A fost angajat Gigabyte fiind principalul producator de placi de baza
Dual BIOS
2. Morris worm 1998
a. Primul vierme cu replicare automata
b. Infecta sisteme UNIX bazandu-se pe vulnerabilitati
c. Scris de Robert Tappan Morris – condamnat la 400 de ore in folosul
comunitatii si 10 000 dolari amenda
d. A fost cofondator la Viaweb (vanduta cu 48 mil dolari, devenita mai
tarziu Yahoo)
3. Melisa 1999
a. Primul macrovirus
b. Se dorea inofensiv dar a blocat serverele de mail datorita
supraincarcarii
c. Raspandit prin intermediul unui fisier cu parole de la site-uri de adulti
d. Creat de David Smith – 10 ani inchisoare, dar a stat 20 de luni si a
primit amenda de 5000 dolari, ajuntant FBI la localizarea altor
criminali cibernetici
4. I Love You 2000
a. Trimis prin e-mail
b. In 9 zile 50 mil de pc infectate
c. Daune de 5.5 miliarde dolari
d. A afectat pentagonul CIA
e. A fost creat de 2 studenti filipinezi, neacuzati in lipsa legii
5. Nimda 2001
a. Infecta toate versiunile de windows
b. Se propaga prin e-mail, directoare neprotejate partajate in retea
c. Navigare pe site-uri compromise
d. Exploata vulnerabilitati IIS 4.0 Si 5.0
e. Prin intermediul unor backdoor-uri
Alti virusi celebri – MyDoom, Santy, RavMonE, Conficker, CryptoLocker,
Mirai, WannaCry.
Virusi pt dispositive mobile:
Primul a fost creat in 2004 de realizatorii unui joc Mosquito pt a raporta prin
SMS copiile piratate ale jocului
Cabir – 2004 – ataca telefoane cu Symbian Seria 60, se multiplica prin
Bluetooth
Commwarrior-A 2005 – se raspandea prin MMS
Trojan-SMS.AndoidOS.FakePlayer.a – trimit mesaje la nr cu suprataxa
Hummingbad 2016 – afisa 20 mil de reclame lunar si genera venit de
300 000 dolari
In prezente telefoanele pot contine aceleasi tipuri de virusi ca si pc-urile
Cauza principale – OS neactualizat, lipsa support etc.
CURS 4 (Tehnici de raspandire, tipuri de atacuri web, Securitate SO)
Principala cauza de raspandire a virusilor este factorul uman.
Cu cat o specie este mai dezvoltata genetic cu atat rezistenta in fata infectiilor este
mai mare. Cu cat diversitatea platformelor este mai mica, cu atat mai mult apare
riscul infectarii a mai multor echipamente. (majoritatea Windows)
Formele progr. Malware propagate cu ajutorul userilor:
Rularea de fisiere executabile nesigure
Plasare de troieni in fisiere descarcate de user
Malware trimise prin e-mail sau link-uri
Prin instrumente software – toolbar-uri, pluginuri etc.
Tehnici de social engineering – fake virus, scareware etc.
Clasificare malware (dupa character daunator):
Malware propriu-zis
Privacy-invasive software
o Necesesita acceptare de la user
o Culeg date mai putin confidentiale (date folosite ulterior de addware)
si confidentiale – nume de user, parole, date bancare
o Userii nu citesc license agreement
Software legitim
Vulnerabilitati:
Client-side
o Prezente in aplicatii desktop si mobile
o Vulnerabilitati ale browser, clienti e-mail, clienti mesagerie instant,
client p2p (torrent)
o Poate fi nu numai client propriu-zis ci si un viewer de fisiere
Server-side
o Prezente in procese server care expun servicii accesibile in Internet
(server web, server de e-mail etc.)
o Sunt exploatate de viermi cu transmisie automata sau de cineva care
ataca in special sistemul respective
Mecanisme de protectie:
Folosire antivirus, atispyware etc
Update-uri periodice ale SO si aplicatii
Firewall complet la diverse nivele ale stivei TCP/IP
Instalarea si executia de software din surse de incredere
Zero-day attacks se bazeaza pe vulnerabilitati le unei aplicatii necunoscute pt care
nu exista patch (update, fix). Vulnerability window > 0
Atacuri bazate pe vulnerabilitati cunoscute – din forumuri (soft open-source),
atacatorul dezvolta un exploit facand reverse la engineering la update-urile din
Securitate (softul proprietar). Vulnerability window < 0
Tipuri de atac:
Atacuri remote – din motive de Securitate procesele server sunt rulate de pe
un user fictive cu privilegii obisnuite; dupa atacarea cu success atacatorul
ruleaza pe system un cod cu priviilegiile userului care ruleaza serviciul:
o individual – sistemul X este ales ca tinta. Se cauta vulnerabilitati
o Scanare automata – infectie cu viermi – tinta este
portul/serviciul/procesul server vulnerabil. Scopul este de infecta mai
multe sisteme.
Atacuri locale:
o Atacatorul poate rula cod cu privilegiile unui anumit user pe system
o Exploatare cu success duce la obtinerea de privilegii mai ridicate
o In unele cazuri atacul local nu mai e necesar
Migrarea atacurilor spre web:
Folosirea motoarelor de cautare pt localizarea sistemelor vulnerabile
Tehnica poate fi exploatata si de viermi
Riscuri datorita folosirii pe scara larga a aplicatiilor web – WordePress,
Joomla, Drupal etc.
Securitate la nivel SO server in Internet:
Utilizarea unor distributii LTS (Long time suport) pt SO
Inchiderea porturilor si serviciilor inutile
Folosirea aplicatiilor de verificare a accesului la produse server (firewall,
WAF, TCP wrapers)
Adrese IP false pt sisteme ce exporta servicii in internet
Rularea proceselor server/serviciilor sub utilizatori fictivi (nu ca super-useri)
Programe suid-ate : se executa cu drepturile userului proprietar pe fisierul
executabil (cu root), nu cu dreptul userului ce executa programul (user
obisnuit)
Exploit-uri celebre:
WUFTP exploit (remote) – atacatorul obtinea accesul la root daca serverul
FTP accepta conexiuni anonime
Ptrace (local) – afecta versiunile de kernel, permitea escaladarea de privilegii
Shellshock (cred ca e remote) – permite executia arbitrara a unor comenzi
specificate in cadrul valorii unei variabile de mediu malformed.
EternalBlue – dezvoltat de NSA (National Security Agency) si s-a scurt in
net. A fost folosit de WannaCry pt a se propaga. Microsoft a dezvoltat
update-uri sip t cele mai vechi versiuni de windows.
Heartbleed
Meltdown, Spectre