Securitatea calculatorului

Securitatea calculatorului

De exemplu, problema anului 2000 a aparut datorata reprezentarii anilor numai prin ultimele doua cifre putând astfel genera confuzie între anul 2000 si 1900 împreuna cu toate consecintele legate de calculele matematice ce implicau durate în timp si care puteau avea rezultate negative sau incorecte. Prescurtata "Y2K" de la Year 2000, problema a luat repede amploare, trecând de la "problema" la "bug" si apoi la "virus" în mod incorect, deoarece aceasta denumire încalca definitia unui virus informatic. Pâna la urma, s-a constatat ca numarul sistemelor afectate de aceasta problema nu era chiar atât de mare, nu functionau în segmente critice ale economiei si societatii, iar mult temuta noapte de revelion a anului 2000 nu a declansat al treilea razboi mondial sau colapsul societatilor superdezvoltate. În schimb, nivelul de audienta al mass media a fost foarte puternic influentat de gradul de mediatizare al problemei Y2K timp de mai multi ani; unele companii, cum ar fi cele producatoare de generatoare de curent electric pe carburanti fosili, sau constructoare de buncare antiatomice subterane, au câstigat sume fabuloase exploatând naivitatea oamenilor în fanteziile debitate de toate canalele de televiziune si ziare.
    Un alt exemplu: virusul Michelangelo, denumit astfel deoarece îsi declanseaza efectele nefaste în data nasterii faimosului vizionar Michelangelo Buonaroti, a fost pastrat la ordinea zilei multi ani dupa ce virusul a disparut, fiind sugerata chiar neutilizarea calculatorul în ziua respectiva, o solutie evident aberanta prin faptul ca tragea un semnal de alarma asupra unei situatii cvasi-inexistente, nu înlatura cauza problemei, si amâna solutionarea ei pentru anul urmator.
    În realitate, metodele de protejare împotriva virusilor si hackerilor sunt numeroase, usor de pus în practica si gratuite de multe ori. Cheia este informarea corecta din surse IT, nu din mass media care în mod repetat a dovedit o ignoranta crasa si o lipsa a specialistilor din domeniul informatic. Sper ca, dupa parcurgerea acestui articol-ghid de securizare a calculatorului, sa zâmbiti fara griji când stirile din întreaga lume anunta un nou virus distrugator ce a fost lansat.

Germeni electronici

Un virus biologic urmareste trei principii pentru a-si asigura perpetuarea 21321g621v existentei: infectarea, multiplicarea, raspândirea; inteligenta lui este în schimb aproape nula, fiind programata de un cod ADN redus. Un virus informatic este un program (secventa de instructiuni) care, odata ajuns pe un calculator, se asigura ca se va activa la fiecare pornire a lui si se va ascunde cât mai bine între sutele de fisiere de pe hard disk. Apoi va încerca sa infecteze si alte calculatoare, sau sa execute anumite comenzi distrugatoare, cum ar fi stergerea fisierelor. Spre deosebire de virusurile biologice, virusii informatici pot fi dotati cu un grad de inteligenta ridicat, complexitatea instructiunilor facându-i foarte dificil de detectat fara unelte specializate, si permitându-le o gama larga de actiuni, variind de la iritare a utilizatorului pâna la arderea fizica a unor componente din calculator. Se pot distinge mai multe tipuri de virusi frecvent întâlniti:

    - virusi vierme (worm), se transmit în principal prin Internet; pot fi primiti prin e-mail, prin vizitarea unor site-uri infectate, sau prin descarcarea si rularea unui program infectat. Acesti virusi vor încerca sa se transmita singuri mai departe spre adresele de e-mail din Address Book sau spre o adresa predefinita, uneori atasând documente confidentiale sau parole de dial-up si e-mail de pe calculatorul victimei. Cei mai cunoscuti virusi din aceasta categorie sunt Love Letter si SirCam. Companiile fara reguli stricte de utilizare a Internetului si fara programe de detectie a virusilor ajung cel mai adesea în situatii neplacute, deoarece virusul s-a propagat în întreaga retea informatica si s-a transmis la sute sau mii de clienti, furnizori, parteneri de afaceri. Un calculator de acasa infectat cu un vierme ar putea expune informatii confidentiale, cum ar fi parole, informatii financiar-bancare, medicale, etc, stocate pe hard disk.

    - virusi tip cal troian sau backdoor, care se ascund în interiorul unor alte programe si apoi duc la îndeplinire niste actiuni nedorite, permitând oricarui autointitulat "hacker" accesul deplin la calculatorul infectat prin acea "usa deschisa din spatele casei", de câte ori acesta este conectat la Internet. Tipic pentru un virus troian este de a se instala fara sa atraga atentia, si de a-si face treaba de spionare în mod cât mai discret, pentru ca la un moment dat sa loveasca cât mai puternic si pe neasteptate. Aceasta categorie este înca aprins disputata, de o parte fiind administratorii de retea care pot folosi în mod legitim asemenea programe pentru controlul si administrarea de la distanta mai usoara a calculatoarelor dintr-o retea, iar în tabara adversa fiind persoanele cu intentii rele, ce folosesc virusii troieni pentru a spiona, fura, enerva sau distruge.

    Reprezentativi sunt virusii BackOriffice si SubSeven, ultimul fiind creat chiar de catre un român si oferind facilitati superioare chiar si programelor comerciale pentru administrarea de la distanta. Alte exemplare din aceasta categorie au ca scop atacul la comanda prin trimiterea simultana dinspre toate calculatoare infectate a mii de solicitari pe secunda spre un server; acest tip de atac se numeste Distributed Denial of Service (DDoS), si functioneaza într-un sistem arborescent. O persoana rauvoitoare poate trimite în mod anonim mai multor calculatoare intermediare infectate o comanda de atac; aceste calculatoare retransmit comanda spre mii de alte sisteme infectate, ordinul de atac propagându-se si amplificându-se în lant. În scurt timp, mii si mii de calculatoare din întreaga lume, trimit cu cea mai mare viteza posibila solicitari sau pachete de date neinteligibile spre calculatorul tinta, acesta nemaiputând face fata milioanelor de solicitari pe secunda si devenind astfel complet neutilizabil. Un utilizator conectat la Internet cu un calculator infectat nici macar nu îsi va da seama ca o parte din viteza conexiunii lui este folosita de virus pentru a-si aduce contributia la un atac pornit la scara planetara. Un virus ce urmarea un atac tip DDoS a fost Code Red; în codul acestuia era programat un atac asupra sistemelor informatice ale Casei Albe din Washington. Din fericire, inginerii de securitate americani au detectat la timp infectia, iar atacul nu a mai avut loc.

    - virusi macro, care sunt de fapt niste functii incluse în documente Word sau Excel si care se transmit odata cu ele. Acestia se multiplica la nesfârsit, infectând toate documentele de pe hard disk si fiind transmisi mai departe odata cu utilizarea în comun de mai multe persoane a respectivelor fisiere. Priviti initial ca o curiozitate a puterii limbajelor macro, acesti virusi nu au cunoscut o dezvoltare chiar atât de exploziva; însa chiar si putinele exemplare create, au generat prin efectele lor pagube importante în cadrul organizatiilor ce folosesc în mod extensiv aplicatiile de birou - companiile.
    Conditia pentru ca un calculator sa fie infectat de un virus este ca el sa fi fost activat (rulat), prin deschiderea fisierului, documentului sau e-mail-ului purtator. Virusii continua sa afecteze calculatoarele din întreaga lume mai ales datorita erorilor din sistemul de operare Windows si programelor de e-mail care permit executarea lor fara a verifica în prealabil, dar si din cauza utilizatorilor nepriceputi. Exista o adevarata industrie a programelor antivirus, din ce în ce mai complexe si mai inteligente, care monitorizeaza orice fisier utilizat si orice activitate suspecta a calculatorului. Protectia oferita nu este, însa, perfecta: unele programe antivirus nu sunt gratuite, au dificultati în depistarea si curatarea virusilor noi care nu sunt inclusi în lista celor cunoscuti, aceste liste trebuiesc actualizate periodic, si nu în ultimul rând încetinesc sistemul prin rularea lor în permanenta si verificarea fiecarui fisier accesat, mai ales pe calculatoarele cu performante mai modeste. Programele antivirus evolueaza destul de repede, existând la ora actuala si solutii complet gratuite, sau posibilitatea de a seta antivirusul sa îsi aduca la zi lista virusilor cunoscuti în mod complet automat si transparent, iar algoritmii de detectare a intruziunilor sunt tot mai performanti. Utilizarea unui program antivirus trebuie totusi completata de o suita de solutii si reguli de utilizare a calculatorului, care reduc si mai mult riscul infectiilor:

    - Niciodata nu deschideti fisierele primite prin e-mail sau descarcate de pe site-uri personale, mai ales daca v-au fost trimise fara solicitarea dumneavoastra expresa, fara a le scana întâi cu programul antivirus. Daca aceasta regula ar fi respectata, cea mai mare parte a cazurilor de virusari de sisteme ar fi eliminata. O solutie convenabila ar fi pastrarea separata, organizata, a fisierelor descarcate de pe Internet care sa fie scanate manual înainte de a fi deschise sau mutate în alta parte.

    - Împiedicati Internet Explorer si Outlook de a mai rula automat programele VBS, Visual Basic Script, incluse în pagini web sau e-mail-uri. Exista un program minuscul numit VBProtect, ce poate fi descarcat gratuit de la adresa DeltaBase.nl; copiati-l în directorul Windows, rulati-l si faceti click pe butonul Install.  De acum înainte, de câte ori un script VBS, potential virus, va dori sa se activeze de pe o pagina web sau e-mail, VBProtect va va avertiza asupra acestui lucru si va va permite sa selectati continuarea sau oprirea executarii scriptului. Un alt program similar este AnalogX Script Defender, ce poate fi descarcat de la AnalogX.com. În continuare, blocati rularea programelor ActiveX; pentru Internet Explorer, în Control Panel, Internet Options, tab-ul Security, faceti click pe butonul Custom Level, apoi setati pe Prompt (recomandat) sau Disabled (în cazuri extreme) componentele ActiveX;  pentru Outlook, în meniul Tools, Options, tab-ul Security, în sectiunea Secure content alegeti zona "Restricted Sites". Dezactivarea componentelor ActiveX va avea însa repercursiuni în afisarea corecta a unor pagini web ce folosesc asemenea scripturi în mod legitim, de exemplu Microsoft.com. Virusii ActiveX sunt foarte putin raspânditi comparativ cu cei VBS, deci nu este stringenta nevoie sa dezactivati complet functionalitatea ActiveX pentru acest lucru.

    - Pentru cei ce frecventeaza comunitatea IRC, programele folosite permit filtrarea fisierelor ce pot fi acceptate de la alti utilizatori. Programul mIRC fiind cel mai frecvent folosit, setarile de filtrare în cea mai recenta versiune 6.01 se afla în meniul File, Options, sectiunea DCC Folders, optiunea DCC Ignore; selectati din lista derulanta "Ignore only", ceea ce va bloca primirea fisierelor executabile dar va permite acceptarea tuturor celorlalte fisiere. 

    - Unii virusi mascheaza fisierele executabile infectate incluzând în numele acestora si o extensie falsa. De exemplu, un virus de pe calculatorul lui badea Ion se va trimite prin e-mail lui badea Vasile cu textul "Yo, check this out" si fisierul atasat denumit cu_oile_la_pascut.jpg.exe. Implicit, Windows ascunde extensiile fisierelor al caror tip este cunoscut, deci .exe nu va apare, iar badea Vasile va crede ca este o fotografie (desi nici la fisierele .jpg în mod normal nu le este afisata extensia), va deschide fisierul si virusul va declansa infectia. Fortati Windows sa afiseze numele complet al fisierelor, în Windows Explorer, meniul View, optiunea Folder options; în noua fereastra, selectati tab-ul View si debifati optiunea "Hide file extensions for known file types". 

    - Pentru virusii macro, programele Office avertizeaza la deschidere ca fisierul contine macro-uri; alegeti optiunea "Disable macros" pentru a dezactiva virusul. Aceasta operatie nu curata virusul din document; va trebui sa apelati la un program antivirus pentru aceasta.

    - Aduceti-va sistemul la zi cu ultimele bug patch-uri Microsoft; detectarea automata a componentelor Windows mai recente ce pot fi descarcate si instalate se face la adresa WindowsUpdate.Microsoft.com, iar pentru suita Office la adresa OfficeUpdate.Microsoft.com. De asemenea, asigurati-va ca aveti mereu ultimele versiuni ale programelor folosite, deoarece erorile exploatate de virusi sunt remediate, si ultimele versiuni ale fisierelor de semnaturi pentru programul antivirus.

    - Programele "sparte", modificate în orice mod fata de versiunea originala sau copiile pirat, pot contine virusi si nu ofera garantii asupra functionarii normale; în plus, folosirea acestor programe este si ilegala, din punctul de vedere al legii drepturilor de autor. Ramâne la latitudinea dumneavoastra de a stabili prioritatea acestui fapt.

    - Exista unele site-uri ce ofera informatii despre virusi, instructiuni si programe gratuite de curatare individuala a fiecarui virus: NoHack.net, DMSetup.org, BitDefender.com, Symantec.com. De asemenea, pentru depistarea virusilor troieni care circula mult prin IRC, puteti folosi programul shareware The Cleaner de la adresa MooSoft.com.

Angajati-va un paznic

 Pentru a spori securitatea, unele cladiri au la intrare un paznic care verifica fiecare vizitator unde merge, si noteaza cine si când a iesit. si calculatorul poate avea un paznic la usa spre Internet, care sa va protejeze de intrusii din afara si de spionii din interior; se numeste firewall, si este un echipament hardware, în cazul corporatiilor si conexiunilor Internet de mare viteza, sau program ce ruleaza tacut în fundal si îsi face treaba. Un firewall este un filtru pentru întreaga comunicatie cu Internet-ul, ce permite sau blocheaza accesul pe baza unor reguli stabilite de utilizator sau administratorul de retea. E drept ca unele programe firewall sunt mai performante si ofera mai multe optiuni ca altele; dar, nici cel mai bun si mai scump firewall nu are nici o valoare daca regulile de protectie nu sunt configurate corect.
    Programele de acest tip cele mai cunoscute sunt produse de: ZoneAlarm (gratuit), Kerio Personal Firewall - fostul Tiny Personal Firewall (gratuit) , SyGate (gratuit), McAfee Firewall (comercial), Symantec (Norton) Personal Firewall (comercial), Deerfield Personal Firewall (comercial) sau Deerfield VisNetic Firewall (comercial), BlackIce PC Protection, fostul BlackIce Defender (comercial), si altii. Fiecare din acestea realizeaza acelasi lucru, dar prin implementari diferite si diverse nivele de complexitate. Programul firewall nu poate sa va protejeze prea bine daca sistemul de operare pe care se bazeaza este plin de gauri de securitate. Trebuie ca Windows-ul sa aiba instalate ultimele versiuni de software de comunicatie Dial-Up Networking si WinSock (nu are legatura cu ciorapii, este prescurtarea de la Windows Sockets, un socket fiind elementul de baza al comunicatiei prin TCP/IP). Pentru o verificare automata a existentei acestor componente si eventual instalarea lor, vizitati site-ul WindowsUpdate.Microsoft.com. La data scrierii acestui articol, ultimele versiuni sunt DUN 1.4 si WinSock 2.22.
    Doar dupa instalarea unui program firewall va veti da seama cât de expus este calculatorul când sunteti conectat la Internet; exista persoane care verifica, cu programe specializate, mii de calculatoare pe minut, încercând sa gaseasca un virus troian sau un server pe care sa-l poata exploata. Calculatorul va este bombardat cu astfel de încercari chiar si odata la câteva secunde. Nu va faceti griji, asemenea evenimente sunt cu un risc foarte scazut, chiar zero daca nu sunteti infectat cu un troian; în plus, firewall-ul blocheaza automat tentativa.
    De la instalare, majoritatea firewall-urilor vin cu niste reguli de baza predefinite, ce va protejeaza în cazul în care aveti fisiere sau imprimante partajate în retea. De asemenea, când un program de pe calculator ce nu se afla în lista de permisiuni sau interdictii doreste sa acceseze Internet-ul, firewall-ul va va întreba daca îi dati voie sau nu, si va ofera posibilitatea de a face aceasta alegere o regula permanenta.  În cazul în care ati fost infectati cu un virus vierme sau troian, firewall-ul poate bloca raspândirea lui mai departe sau accesul unui hacker în sistem. Daca sunteti conectati în retea, firewall-ul poate fi configurat sa permita accesul diferentiat la resursele calculatorului dumneavoastra: acces permis dinspre retea, dar interzis dinspre Internet. Interfata si detaliul de configurare difera de la un firewall la altul. Pentru începatori, programul ZoneAlarm este recomandabil, întrucât este foarte puternic si cu toate acestea usor de configurat. Pentru cei ce doresc un control mai detaliat al porturilor ce pot fi folosite de fiecare program, Kerio Personal Firewall este un program mic, foarte rapid, deosebit de flexibil si permitând chiar si administrarea de la distanta. Pe de alta parte, SyGate Personal Firewall ofera setari avansate pentru fiecare program, ca si Kerio, plus informatii despre atacurile pe care le-a blocat, ca si ZoneAlarm. Cele trei firewall-uri mentionate sunt gratuite pentru utilizare personala. si celelalte programe firewall sunt foarte bune, fiecare având fanii sai. Alegerea va apartine.
    În mod obisnuit, calculatorul pe care îl folositi nu ruleaza nici un program de tip server, deci toate porturile nefolosite sunt închise. Cu toate acestea, calculatorul nu este complet invizibil pe Internet, întrucât raspunde la mesajul PING primit de la alte calculatoare. Pentru a bloca acest mesaj, creati o noua regula în programul firewall care sa blocheze pachetele de date dinspre Internet (incoming), protocolul ICMP, mesajul tip Echo Request. De asemenea, daca aveti instalat clientul pentru retele Microsoft (Client for Microsoft Networks), acesta va deschide porturile 137 si 138 pe protocolul UDP, si portul 139 pe protocolul TCP, încercând sa comunice cu alte calculatoare Windows din retea; acest lucru poate fi o problema daca puneti în comun fisiere sau imprimante, întrucât ele vor fi accesibile dinspre Internet. Daca nu folositi o retea locala, puteti sterge clientul pentru retele Microsoft, sau instala un port blocker care sa blocheze accesul numai la acele porturi; solutia cea mai eleganta si mai configurabila ramâne însa un firewall.
    Singurul tip de atac ce nu poate fi oprit de un firewall este atacul tip "flood", adica un computer sau mai multe cu conexiuni foarte rapide la Internet va inunda conexiunea dumneavoastra (mai lenta) cu pachete de date, fara a astepta un raspuns. Consecintele sunt doua: în primul rând, datele vin cu o asemenea rapiditate, încât comunicatia normala cu Internetul este încetinita sau chiar complet oprita; în al doilea rând, nici soft-ul de comunicatie nu este perfect, încât dupa un timp calculatorul ramâne fara resurse, sau modemul se deconecteaza de la Internet Provider, sau obtineti un BSoD (Blue Screen of Death, binecunoscutul ecran albastru de eroare critica Windows) în cazurile cele mai severe. Acest tip de atac poate fi blocat doar la nivelul echipamentelor de routare de la ISP-ul dumneavoastra, daca îl sesizati telefonic. Un asemenea atac de tip flood a fost pornit asupra serverelor retelei UnderNet, o retea de chat IRC, de catre o persoana din România, care a obtinut acces de administrator la serverele foarte rapide ale unor mari furnizori de servicii Internet din lume. Aceste servere au fost programate sa atace anumite servere, astfel încât timp de câteva luni reteaua Undernet a fost afectata foarte puternic de supraîncarcare, unele servere fiind retrase de companiile ce le sponsorizau datorita pierderilor financiare înregistrate prin scaderea vitezei de transfer a utilizatorilor lor si încetinirea afacerilor desfasurate prin Internet.

La vânatoare de hackeri

În cazul în care ati fost atacat de cineva într-un mod foarte serios, programul firewall ar fi trebuit sa înregistreze sursa si sa produca niste fisiere jurnal (log) ca dovada. Astfel, sunteti în posesia elementelor cheie pentru identificarea faptasului: adresa lui IP, data si ora atacului (aveti ora la calculator setata cu precizie, nu-i asa?). Se poate raporta acest atac la ISP-ul individului, dar acestia de obicei iau masuri doar în cazul atacurilor repetate, soldate cu pierderi de date, pierderi de bani datorate întreruperilor de servicii comerciale prin Internet etc. Deci, pentru un atac singular, nu prea va ajuta nimeni. De asemenea, nici fisierele log nu sunt perfecte, deoarece pot fi falsificate. Dar, hai sa aflam carui Internet provider apartine adresa IP respectiva. Pentru aceasta folosim un program numit "whois", originar din lumea UNIX; acesta interogheaza câteva centre mondiale ale organizatiilor ce se ocupa cu alocarea adreselor IP. Un client whois pentru Windows, foarte simplu, inteligent si gratuit, este Necrosoft Whois, NScan.org. Pur si simplu introduceti adresa IP a atacantului, si în câteva secunde veti afla adresa de Internet a providerului lui, uneori chiar si cu informatii privitoare la numerele de telefon si persoanele de contact.  Presupunând ca ISP-ul gasit se numeste HaiPeNet.com, scrieti un e-mail la adresa de contact specificata de programul Whois (în strainatate se obisnuieste folosirea adresei tip [email][email protected][/email], dar nu este o regula) în care sa descrieti faptul ca ati fost atacat de unul din clientii lor la data, ora si adresa IP specificate; atasati fisierul sau fisierele jurnal ca dovada, si solicitati sa se ia masuri împotriva persoanei respective, întrucât atacul este o forma de abuz ce afecteaza pe toata lumea. Pâna aici, ati facut tot ce se putea pentru a scapa de dureri de cap; urmeaza ca si ISP-ul respectiv sa aiba bunavointa de a rezolva problema. Ei pot cauta în jurnalele lor de conectare ce username a folosit adresa IP respectiva la momentul specificat, si apoi gasirea numelui, adresei si numarului de telefon al abonatului lor e imediata. Aceste date nu vi se vor comunica, bineînteles; eventual vi se va raspunde ca persoana respectiva a fost gasita si i s-a suspendat contul internet, sau a fost amendat etc.
    Metoda nu este garantata sa functioneze, întrucât nu tuturor Internet providerilor le pasa daca abonatii lor fac sau nu prostii. În mod similar, daca atacul vine din partea unei Internet cafe, identificarea acesteia urmata de un scurt apel telefonic ar putea rezulta în aruncarea în strada a "hackerului", dar sansele de realizare a acestui lucru sunt înca mici; în România, de exemplu, exista un nivel aproape inexistent de "netiquette", o responsabilitate online foarte redusa, si o implicare minima a furnizorilor de servicii Internet. Multi începatori sar ca arsi în clipa în care programul firewall le raporteaza un potential atac, chiar si atât de minor cum e o scanare a porturilor deschise. Prima reactie este de teama, enervare, si o dorinta covârsitoare de a-i raspunde cu aceeasi moneda. Greseala! În primul rând, programul firewall deja a blocat atacul respectiv, deci nu sunteti afectat în nici un fel; în al doilea rând, atacul nu a fost directionat asupra calculatorului dumneavoastra în mod special, ci probabil ca v-ati numarat printre miile de calculatoare atacate pe rând de persoana respectiva. Cel mai grav este însa raspunsul cu un atac similar împotriva intrusului; nu numai ca nu veti câstiga nimic, dar probabil veti încalca legea. Faptul ca persoana respectiva a încalcat la rândul ei legea prin atacarea calculatorului dumneavoastra nu va da dreptul sa replicati si nu va iarta de implicatiile legale ale actiunilor dumneavoastra! Mai bine imaginati-va atacatorul ca o musca ce a încercat sa va intre în casa, dar s-a izbit de un geam închis; nu dati o importanta prea mare avertismentelor firewall-urilor, deoarece unii au dat în paranoia, insomnie si tot felul de fobii datorita impresiei ca pe ei tot timpul cineva îi ataca, îi spioneaza, îi urmareste. Repet: firewall-ul si-a facut treaba, atacul nu a avut succes, cazul a fost închis