Malicious software – termeni si definitii

In prezent, pentru spatiul cibernetic au fost identificate patru amenintari majore:

Spam – mesaje email nesolicitate ce incarca casutele de email ale utilizatorilor din intreaga lume;
Bugs – erori software nedescoperite. Acestea pot duce la coruperea datelor si la vulnerabilitati de securitate, ;
Atacuri de tip “Denial of service” – sunt atacurile in care utilizatorii sunt privati de resurse sau servicii. De exemplu tot spatiul de pe un HDD poate fi ocupat sau toata banda de retea;
Malicious software – MALWARE este software-ul cu scop rau intentionat (malitios). Include virusii, viermii, troienii, si programe spyware.

Exista doua caracteristici asociate cu amenintarile malware:
1. Autoreplicarea – abilitatea de a se multiplica producand noi copii.
2. Parazitarea – necesita existenta unui alt cod software pentru a exista (cod de bootare pe HDD, cod binar din aplicatii,) etc.

Bombele logice

Sunt coduri software ce constau in doua parti:
• Incarcatura – actiunea cu efect negativ ce trebuie executata;
• Declansatorul – o conditie logica ce declansaza actiunea cu efect negativ. Poate fi data sistemului, utilizatorul logat sau versiunea sistemului de operare.
Bombele logice pot fi incluse intr-un cod existent sau pot fi coduri software de sine statatoare. Un exemplu binecunoscut, este introducerea de catre un angajat in 1000 de computere apartinand aceleiasi companii, a unei bombe logice ce stergea toate fisierele la o anumita data. Scopul acestei actiuni a fost acela de a profita de scaderea actiunilor acestei companii ca urmare a pierderii informatiilor. Nu prezinta caracteristica de autoreplicare.

Troienii

Sunt programe ce au o utilitate declarata, dar care in secret executa activitati daunatoare. Un exemplu il poate reprezenta un program de aflare a parolei. Acesta afisaza binecunoscuta ferestra de logare cu numele utilizatorului. Utilizatorul introduce parola insa primeste un mesaj de genul “Invalid password”. Parola este aflata si se lanseaza adevarata secventa de logare. Utilizatorul nesuspectand nimic reintroduce parola si se logheaza pe sistem. Nu prezinta caracteristica de autoreplicare.

Back doors

Sunt reprezentate de catre orice mecanism ce ocoleste o verificare de securitate. Pot fi introduse in coduri continute de diferite programe sau pot fi independente. Exemplul de mai jos ilustreaza mecanismul de ocolire a procesului de autentificare.

nume_utilizator = CitesteNumeUtilizator();
parola= CitesteParola();

daca nume_utilizator = “backdoor”
return PERMITE_LOGAREA
daca nume_utilizator si parola sunt valide
return PERMITE_LOGAREA
altfel INTERZICE_LOGAREA
Nu prezinta caracteristica de autoreplicare.

Virusii

Sunt programe, care atunci cand sunt executate incearca sa infecteze alte programe, care la randul lor, atunci cand vor fi executate, vor produce alte infectari.
In mod traditional, virusii se multiplica in interiorul unui calculator si se propaga de la un calculator la altul prin intermediul mediilor de stocare transportate de om : floppy disk, CD-ROM, DVD-ROM, USB drive. Virusii nu poseda capacitatea de a se autopropaga prin mediul de retea. Aceasta caracteristica o prezinta viermii –WORMS . Virusii se pot propaga prin mediul de retea numai in situatia in care fisierele infectate se afla pe servere de unde pot fi copiate de catre alti utilizatori.
In ultima perioada eticheta de virus se aplica pentru toate amenintarile malware care poseda capacitatea de a se autoreplica.

Worms – viermii informatici

Viermii impartasesc cateva caracteristici in comun cu virusii. Una este aceea de autoreplicare. Spre deosebire de virusi, viermii sunt independenti si nu necesita un cod executabil pentru multiplicare. Raspandirea de la un calculator la altul se face prin intermediul mediului de retea.

Rabbits – iepurii

Reprezinta malware-ul care se multiplica rapid. Exista doua tipuri. Primul tip este reprezentat de software-ul care incearca sa consume toate resursele sistemului. Al doilea tip il reprezinta programele care se multiplica de la calculator la calculator in retea, insa sterg copia originala dupa multiplicare. Cu alte cuvinte “sar” de la un calculator la altul in retea. Acest tip de malware este destul de putin regasit in practica.

Spyware

Este reprezentat de programele ce strang informatii de pe calculatorul gazda si le transmit unei alte entitati. Nu poseda capacitatea de multiplicare. Pot fi ascunse in software-ul instalat de utilizator sau pot fi instalate accesand o pagina WEB datorita vulnerabilitatilor prezente in browser.
Virusii si viermii, desi pot strange informatii, nu sunt considerati a fi spyware datorita fatului ca spyware-ul nu se multiplica.

Adware

Prezinta similitudini cu SPYWARE in sensul ca ambele culeg informatii despre utilizator si obiceiurile acestuia. ADWARE este orientat catre piata in sensul ca pot redirectiona utilizatorul catre anumite site-uri pentru a creste vanzarile. Unele programe ADWARE pot redirectiona utilizatorul functie de preocuparile sale. Nu prezinta caracteristica de autoreplicare.

Hybrids – hibrizi

In practica, majoritatea programelor malware pot prezenta combinatii ale caracteristicilor de mai sus. De exemplu un TROIAN care se multiplica ca un virus si creeaza vulnerabilitati –BACKDOORS.

Zombies

Calculatoarele compromise pot fi utilizate de un atacator in diferite scopuri, fara ca utilizatorul sa constientizeze acest lucru. Calculatoarele utilizate in acest mod sunt denumite ZOMBIES.
Calculatoarele ZOMBIE sunt utilizate cel mai des pentru a trimite SPAM si a efectua atacuri de tip “Denial of service”.

Metode de protectie

In urma cu ceva vreme Andrei a scris un articol similar pe aceasta tema unde a adaugat si cateva sfaturi privind moduri de protectie impotriva malware-ului.