Malware este un termen folosit în limba engleză şi preluat destul de des în limbajul terminologic românesc care provine de la malicious software (adică programe maliţioase). E vorba despre acele programe care se folosesc de găurile (de securitate) ale sistemului şi de naivitatea ori neatenţia utilizatorilor pentru a strînge informaţii confidenţiale în folosul propriu sau pentru a face rău. Printre programele maliţioase se regăsesc viruşii, troienii, viermii, phishing şi o mulţime de alte ameninţări care apar zilnic.
Despre pishing am mai scris deja pe Supravirtual.ro, dar revin cu acest subiect pentru că atacurile malware au crescut vertiginos în ultimul timp, iar metodele prin care acţionează infractorii informatici s-au diversificat. De exemplu, în loc să trimită un simplu mesaj electronic (email mai pe englezeşte) către milioane de utilizatori şi clienti de-ai băncilor, îşi selectează atent lista potenţialelor victime conform unui profil specific troianului trimis. Recent, un astfel de troian a cauzat dificultăţi autorităţilor şi unor corporatii americane. Aceste atacuri specifice vizează informaţiile secrete ale corporaţiilor, bazele de date cu clienţi şi alte informaţii sensibile ale companiilor, instituţiilor şi autorităţilor. Este vorba de pishing, iar timpurile în care phishing-ul şi alte atacuri malware erau orientate către marea majoritate a utilizatorilor a cam trecut. Avînd in vedere ca informaţii diverse despre parteneri, responsabilităţi, proiecte şi structuri organizatorice sînt păstrate pe paginile web ale multor companii este relativ uşor pentru hackeri să falsifice un mesaj electronic şi să-i confere un conţinut aparent „de incredere”.
O metodă mai nouă este de a ataca paginile de reţele sociale gen Twitter. Aşa cum scrie Radu Georgescu în jurnalul lui, în august 2008 a avut loc primul atac malware pe Twitter. Pe scurt, a primit un mesaj pe twitter care îl redirecţiona spre o pagină care distribuia un malware. Aşa cum probabil ştiţi deja, Twitter şi Facebook sînt două din paginile Web 2.0 cele mai populare în acest moment. Tehnologia web 2.0 a devenit o ţintă interesantă pentru atacatori prin noile metode de atac pe care aceasta le oferă. De asemenea, pe reţele sociale este foarte uşor să exploatezi falsa impresie de încredere pe care ti-o oferă un nume sau o fotografie cunoscută. De exemplu, dacă eşti prieten cu Ion Popescu pe Twitter, iar acesta scrie un mesaj de genul „O pagină mişto: http://…”, cea mai mare parte a celor care îl urmăresc pe Ionel pe twitter vor accesa url-ul respectiv fără să se gîndească prea mult asupra riscurilor la care se supun. Pagina respectivă ar putea să fie la fel de bine autentică şi bine intenţionată, dar la fel de bine o pagină care să adăpostească un program maliţios. Fără o verificare în prealabil nu ai cum să ştii, iar dacă la adresa nou accesată apare o avertizare cum că trebuie instalat un plugin nou (adică un program auxiliar navigatorului pentru accesarea în bune condiţii a unei pagini), o foarte mare parte dintre vizitatori nu vor ezita prea mult înainte de a-l rula în sistem. Asta fiindcă ei consideră că este improbabil ca o persoană precum Ion Popescu să vrea să infecteze pe altcineva în mod voit. Marea majoritate a atacurilor prin intermediul reţelelor sociale se bazează pe exploatarea încrederii în prieteni sau persoane publice.
Un alt exemplu elocvent este campania „Twitter Pet Name” în care utilizatorii au fost rugaţi să menţioneze numele animalului lor de companie şi strada pe care locuiesc. Ceea ce au pierdut din vedere cei care au completat formularul este că aceste informaţii se folosesc de obicei la răspunsuri de siguranţă şi întrebări de securitate în anumite formulare de înregistrare (de exemplu pe interfaţa yahoo), iar aflarea acestora poate duce la obţinerea parolei de acces la contul utilizatorului.
Troienii sînt programe care, aparent, îndeplinesc funcţiii folositoare, dar care în realitate execută funcţii dăunătoare care rămîn ascunse. Ei sînt cele mai active ameninţări ale ultimelor luni pe internet. Ei pot fi ascunşi în mesaje, pagini web, camuflate sub diverse nume, şi doresc să preia controlul calculatorului sau să fure detaliile contului bancar sau al numerelor de carduri de credit, dar şi parolele pentru diverse servicii comerciale.
Viermii sînt programe care se multiplică în memoria calculatorului care le rulează şi au capacitatea de a infecta alte sisteme (de exemplu prin trimiterea de mesaje care conţin versiuni ale viermelui). Renumitul vierme de Internet Downadup, cunoscut şi sub numele Conficker a cauzat cele mai mari pagube utilizatorilor în anul 2009. Acesta a reuşit să infecteze un număr record de calculatoare în toată lumea (aproximativ 11 milioane) şi fost de asemenea prezent în secţiunile de ştiri ale multor reviste de specialitate şi a mass mediei pentru o bună perioadă de vreme. Downadup se propagă folosind vulnerabilităţile sistemului de operare Windows. Odată ce sistemul a fost compromis, viermele dezinstalează actualizările de Windows şi blochează accesul utilizatorului la paginile producătorilor de soluţii de securitate pentru a impiedica curăţarea sistemului.
În ce priveşte trimiterea de mesaje nesolicitate (adică spam pe englezeşte), în anul 2009 a existat o tendinţă crescătoare a mesajelor nesolicitate contextuale, mesajele nesolicitate ce trimit textul mesajului în cadrul unei imagini ieşind în evidenţă. Aceste imagini sînt incluse în mesaje de ştiri în format HTML şi pot fi descărcate pe calculatoarele ţintă, astfel trecînd de filtrele de spam de pe servere sau de pe calculatoarele ţintă.
Un alt aspect trebuie evidenţiat: aşa cum am mai scris pe Supravirtual.ro, unii dintre creatorii de mesaje nesolicitate dovedesc o necunoaştere a legislaţiei în vigoare sau/şi un tupeu incredibil, susţinînd în mesajele lor că acestea nu pot fi considerate spam pentru că adresele respective au fost găsite pe pagini publice sau în diverse directoare cu informaţii. Ei bine, din punctul de vedere a legislaţiei româneşti (care este corelată cu legislaţia europeană) se defineşte ca mesaj comercial nesolicitat (spam) orice mesaj care nu este precedat de o cerere de ofertă. Adică trebuie să ceri mai întîi o ofertă şi abia apoi să primeşti mesajul, nu să primeşti mesaje cu chestii care nu te interesează.
O metodă care a luat amploare în ultimul timp este deturnarea paginilor web prin injectii cu javascript şi cu sql şi folosirea lor pentru a propaga mai departe malware. Astfel, sînt folosite breşe de securitate ale programelor care rulează pe servere (de exemplu: magazinele virtuale, sistemele de administrare, jurnale sau forumuri adică paginile web în general). Multe asemenea pagini folosesc configuraţii standard şi pot prezenta breşe de securitate care nu au fost eliminate de actualizările mai recente. De asemenea, paginile web trebuie să conţină filtre care să fie aplicate datelor introduse de utilizatori care să împiedice atacurile cross site scripting sau SQL injections. O altă metodă de acces la paginiile web este prin accesul direct la server (prin programe ftp, de exemplu) atunci cînd aceste programe au parole de securitate foarte slabe (de exemplu „123456” sau „admin123”). Acestea pot fi sparte în cîteva secunde folosind “dicţionar-de-atacuri” (o metodă de atac a hackerilor).
Parolele slabe, breşele de securitate din programele (software) serverului şi filtrele inadecvate ale intrărilor folosite de utilizator sînt doar cîteva dintre modurile în care infractorii pot ataca o pagină web.
Există specialişti răspîndiţi în toată lumea care lucrează în limitatea răspîndirii malware-ului (prin descoperirea lui, aducerea la cunoştintă proprietarilor şi administratorilor serverelor şi paginilor web care împrăştie malware şi blocarea acestora atunci cînd măsurile de eliminare întîrzie sau lipsesc), dar, în cele din urmă, cea mai bună măsură este realizarea unor pagini web sigure şi care să nu fie vulnerabile la atacurile rău-voitoare.
Reiau metodele de protecţie enumerate în articolul anterior cu completările de rigoare:
- Nu completaţi formulare electronice cu date confidenţiale, mai ales dacă sînt trimise prin mesaje electronice. Orice furnizor de servicii competent foloseşte pagini de internet securizate şi certificate digitale. De asemenea, este foarte improbabil ca orice reţea socială, magazin virtual sau bancă online să vă ceară date confidenţiale prin intermediul mesajelor electronice. Băncile electronice şi magazinele virtuale le au deja (le-aţi completat atunci cînd aţi creat contul) iar reţelele sociale n-au nevoie de ele.
- Cînd primiţi mesaje suspecte, mai ales dacă sînt neaşteptate şi nesolicitare, nu deschideţi paginile ale căror locaţii apar în ele şi contactaţi-l pe cel care apare la expeditor pentru a verifica dacă este într-adevăr persoana care a trimis mesajul. Eventual introduceţi de la tastatură adresele la care mesajul face referire în bara de navigare a navigatorului.
- Asiguraţi-vă că folosiţi o pagina de internet securizată (conţine https:// la începutul căii de acces) şi verificaţi certificatele digitale.
- Verificaţi în mod regulat conturile şi extrasele bancare.
- Actualizaţi-vă constant sistemul de operare şi programele pe care le folosiţi în mod curent cu cele mai noi completări pe măsură ce apar. De asemenea, este indicat să aveţi un antivirus, un firewall şi o soluţie de securitate cît mai completă şi cît mai actualizată. Ultimele soluţii de securitate scanează programele pe care le descărcaţi (iar dacă nu o fac este bine să o faceţi voi) şi verifică paginile pe care le accesaţi, anunţîndu-vă dacă aceste pagini sînt dubioase sau periculoase.
- Creaţi copii de siguranţă ale datelor importante (salvîndu-le de exemplu pe cd-uri, dvd-uri sau pe hard disk-uri auxiliare). Exemple de date importante: corespondenţa, proiectele la care lucraţi, documente, imagini, etc.
- Cînd retrimiteţi un mesaj primit de la altcineva ştergeţi toate adresele electronice (e-mail) ce apar în mesaj, iar dacă trimiteţi un mesaj la mai multă lume puneţi o singură adresă la destinatar, iar restul în de destinatari ascunşi (BCC = Blind Copy Carbon, sînt destinatarii care primesc mesajul fără ca adresele lor să apară în textul acestuia). Acest lucru evită apariţia de cîrnaţuri lungi de adrese electronice care sînt vîndute pe bani buni celor care trimit mesaje nesolicitate).
- Evitaţi produsele Microsoft, găurile lor de securitate au devenit deja legendare.
Editura Litera - carti online
Mitsubishi
