Programele virusate, pe parcursul istoriei, s-au răspândit din cauza greşelilor utilizatorilor; adică utilizatorul îndeplineşte o anumită acţiune care activează un virus. Exemplul clasic este deschiderea unui ataşament din email.
Securitatea calculatorului. Primii viruşi (1)
Virusul, deghizat ca un fişier de tip imagine sau alt fel de tip comun, acţionează odată ce utilizatorul deschide fişierul. Din deschiderea acestuia poate rezulta o eroare sau fişierul se poate deschide ca de obicei, păcălindu-l pe utilizator în a crede că totul este în regulă. În orice caz, virusul a avut nevoie de acţiunea utilizatorului pentru a se răspândi. Reproducerea e posibilă nu din cauza unei breşe de securitate în codul programului, ci prin înşelăciune.
La sfârşitul anilor 1990 acest tip de malware, numit de regulă virus, era de departe cel mai periculos. Mulţi oameni nu erau familiari cu emailul şi nu ştiau că deschiderea unui ataşament le-ar putea infecta calculatorul. Serviciul de email nu era deloc sofisticat: nu existau filtre spam eficiente capabile de a elimina din căsuţa de intrare emailurile spam care conţineau viruşi şi nici vreo soluţie eficientă antivirus care să scaneze ataşamentele. În ultimii ani, progresul tehnologic pe ambele fronturi a făcut trimiterea unui virus prin email mai ineficientă, dar încă există milioane de oameni care nu au software de securitate şi nu au nicio problemă în deschiderea ataşamentelor din email.
Cum viruşii din email-uri sunt acum o tendinţă bine-cunoscută, conceperea lor a devenit mai creativă. Viruşii se pot ascunde acum în tipurile fişierelor pe care cei mai mulţi oameni le consideră a fi sigure, precum foile de calcul Excel şi fişierele PDF. Este chiar posibil ca un virus să îţi infecteze calculatorul prin intermediul unui browser dacă vizitezi o pagină web care îl conţine.
Unii utilizatori se laudă că evitarea unui virus este pur şi simplu o chestiune de judecată. Dacă nu descarci fişiere din surse necunoscute şi nu deschizi ataşamente vei fi în regulă. Eu nu sunt de acord cu acest punct de vedere. Deşi multe ameninţări pot fi evitate prin grijă, viruşi cu noi modalităţi de multiplicare şi infectare sunt dezvoltaţi în permanenţă.
Troienii
Troienii, deşi diferiţi de un virus prin componentele lor, pot infecta calculatoarele prin aceleaşi metode menţionate mai sus. În timp ce un virus încearcă să ruleze un cod infectat pe calculatorul tău, un troian încearcă să facă posibil accesul unei terţe părţi la câteva sau la toate funcţiile calculatorului tău. Troienii sunt capabili de a infecta calculatoarele prin intermediul oricărei metode folosite de un virus. Într-adevăr, şi viruşii, şi troienii sunt luaţi împreună drept malware, întrucât unele ameninţări de securitate au trăsături asociate cu ambele tipuri.
Viruşii de tip vierme (worm)
Termenul de „worm” descrie mai degrabă o modalitate de infectare şi de reproducere a viruşilor, decât componentele lor. Această metodă de infectare este totuşi unică şi riscantă, aşa că îşi merită propria categorie.
Un vierme este un program virusat capabil de a infecta un calculator fără ca utilizatorul să facă ceva anume (în afară de pornirea calculatorului şi de conectarea la Internet). Spre deosebire de viruşii obişnuiţi care încearcă de obicei să se ascundă în interiorul unui fişier virusat, viruşii de tip worm infectează calculatoarele mizând pe vulnerabilitatea reţelei. Virusul tipic se răspândeşte prin trimitere de spamuri cu propriile-i copii la adrese IP aleatorii. Când un astfel de calculator ţintă este găsit, virusul se foloseşte de vulnerabilitatea reţelei pentru a dobândi acces la calculator şi pentru a-şi descărca componentele. Odată petrecut acest lucru, virusul se foloseşte de acest calculator proaspăt infectat pentru a spama şi mai multe adrese IP la întâmplare, reluând procesul.
Creşterea exponenţială este în cazul acesta cheia. Virusul de tip worm SQL Slammer, lansat în ianuarie 2003, a utilizat această metodă pentru a infecta aproximativ 75000 de calculatoare, la numai 10 minute după lansarea iniţială.
Termenul „worm” acoperă totuşi o gamă largă de ameninţări. Unii viruşi worm se răspândesc profitând de lipsurile sistemului de securitate al emailurilor pentru a se trimite automat prin spam odată ce au infectat un calculator. Alţii au ţinte foarte sigure. S-a descoperit că Stuxnet, un worm recent apărut, era de mulţi considerat a fi creat pentru a ataca programul iranian de cercetare nucleară.
Deşi se estimează că acest worm a infectat mii de calculatoare, încărcătura lui efectivă e concepută pentru a avea efect numai odată ce întâlneşte un anumit tip de reţea – tipul pe care Iran îl foloseşte pentru producţia de uraniu. Indiferent de ţintă, caracterul sofisticat al virusului Stuxnet serveşte drept exemplu pentru felul în care un worm care se multiplică automat poate infecta sisteme fără ca utilizatorii să aibă nici cea mai vagă idee.
Viruşii de tip Rootkit
Un caz particular de malware periculos, viruşii rootkit sunt capabili de a obţine acces privilegiat la un calculator şi de a se ascunde pentru a nu fi detectaţi de scanările obişnuite antivirus. Termenul de rootkit este folosit în principal pentru a descrie un tip specific de cod nociv. Aceşti viruşi pot infecta sisteme şi se pot multiplica prin orice fel de tactică. Se pot comporta ca un worm sau se pot ascunde în fişiere aparent legitime.
Sony, de exemplu, s-a aflat în mare încurcătură când experţii de securitate au descoperit că unele CD-uri de muzică distribuite de Sony includeau un rootkit care era capabil să îşi ofere singur acces administrativ la calculatoarele cu Windows, să se ascundă de majoritatea scanărilor antivirus şi să transmită date către o locaţie separată. Acest lucru s-a întâmplat, se pare, din cauza unei copii greşite a planului de protecţie.
În multe cazuri, componentele unui rootkit caută să realizeze aceleaşi scopuri precum un virus obişnuit sau un Troian. Codul nociv poate încerca să şteargă sau să corupă fişiere, să se conecteze la tastatura ta sau să îţi găsească parolele şi apoi să le transmită la o a terţa parte. Toate acestea sunt lucruri pe care un virus obişnuit sau un Troian poate încerca să le facă, însă viruşii rootkit sunt mai eficienţi în privinţa deghizării lor în timp ce îşi fac treaba. Ei de fapt sabotează sistemul de operare, folosindu-se de lipsurile din sistemul de securitate pentru a se deghiza într-un fişier de sistem important sau, în cele mai grave cazuri, pentru a îşi scrie codul în fişierele de sistem importante, făcându-i imposibil de eliminat fără afectarea sistemului de operare.
Vestea bună este că viruşii rootkit sunt mai greu de scris decât celelalte tipuri de malware. Cu cât un rootkit doreşte să intre mai adânc într-un sistem de operare, cu atât mai dificil va fi de creat, întrucât orice bug în codul virusului ar putea să blocheze calculatorul ţintă sau să altereze software-ul antivirusului. Acesta poate fi un lucru rău pentru calculator, însă anulează încercarea de la bun început a rootkitului de a se ascunde.
Phishing şi pharming
Lumea viruşilor din anii 1990 arată ciudat în comparaţie cu cea din prezent. Atunci, programele virusate erau scrise adesea de hackeri care doreau să-şi arate talentul şi să câştige notorietat printre colegii lor. Stricăciunile pe care le făceau erau serioase, însă erau adesea limitate la calculatoarele infectate. Viruşii moderni, pe de altă parte, nu reprezintă decât un instrument utilizat de infractorii care caută să fure informaţii personale. Aceste informaţii pot fi apoi folosite pentru a fura cărţi de credit, a crea identităţi false şi a realiza tot felul de activităţi ilegale care să aibă un mare impact asupra vieţii victimei.
Phishingul şi pharmingul sunt tehnici care ilustrează cel mai bine elementul infracţional din ameninţările de securitate PC. Aceste pericole sunt însemnate, dar din punct de vedere tehnic nu îţi afectează calculatorul. În schimb, se folosesc de el pentru a te induce în eroare şi pentru a-ţi fura informaţiile importante.
Ambele noţiuni sunt strâns legate între ele.
Pharmingul este o tehnică folosită pentru redirectarea cuiva către un site fals.
Phishingul este modalitatea prin care se adună informaţii private prin înșelarea utilizatorului în ceea ce priveşte adevărata identitate a expeditorului unui email ori a proprietarului unui site (de exemplu, primirea unui email care pare a fi de la banca prin care-ţi efectuezi tranzacţiile financiare, dar care este de fapt de la un individ care are ca scop sustragerea de informaţii confidenţiale privind contul tău bancar). Tehnicile merg adesea mână în mână: o modalitate pharming trimite persoana către un site fictiv care apoi îi fură informaţiile private.
Un exemplu clasic al unui astfel de atac începe cu un email care pare a fi trimis de bancă. Email-ul spune că se suspectează o breşă de securitate în serverele tale bancare online şi că ar trebui să îţi schimbi utilizatorul şi parola. Ţi se oferă un link pentru ceea ce pare a fi site-ul web al băncii tale. Pagina, odată încărcată în browser, îţi cere să confirmi utilizatorul şi parola curente şi apoi să tastezi unele noi. Odată făcut acest lucru, site-ul îţi mulţumeşte pentru cooperare. Nu îţi dai seama că ceva nu e în regulă până când nu încerci din nou să te loghezi pe site-ul băncii a doua zi, folosind pagina salvată în istoric.
Malware-ul
Deşi escrocii de mai sus sunt recunoscuţi drept ameninţări serioase, având anumite trăsături, încă sunt dificil de categorisit, deoarece gama de pericole de securitate este diversificată şi se modifică în permanenţă. De aceea, termenul de malware se foloseşte cel mai frecvent: este termenul perfect care înglobează tot ceea ce îţi poate vătăma calculatorul sau îţi poate utiliza calculatorul pentru a-ţi face rău.
Acum că ai aflat despre câteva dintre cele mai comune ameninţări de securitate, probabil te întrebi ce poţi face în privinţa lor. Cel mai potrivit loc de a începe această discuţie este acela al sistemelor de operare.
Securitatea sistemelor de operare (3)
Textul de mai sus reprezintă traducerea ghidului Hackerproof - Your Guide to PC Security, publicat de MakeUseOf.com, cu acordul editorului.
Traducere: Livia Ştefan