Virusi si alte amenintari IT

Virusi si alte amenintari IT

Un virus poate fi definit ca fiind un fragment de cod ce se autocopiaza intr-un program modificandu-1. Virusul nu este un program independent. Se activeaza doar o data cu programul gazda si apoi se multiplica infestand si alte programe. Aceasta succesiune de actiuni poate avea loc instantaneu sau poate rula intr-un mod latent. Pagubele constau fie in deterioarerea perfomantelor sistemului, fie in stergerea datelor sau modificarea lor. În cele mai multe cazuri virusii se protejeaza camuflandu-se in programul gazda, operand cu efect intarziat, unii dintre ei chiar stergandu-si urmele. Cei mai raspanditi virusi prin Internet (in special prin e-mail) sunt macrovirusii atasati de obicei fisierelor Word.

Conform McAfee exista peste 53.000 de virusi, multi fiind programati sa se activeze intr-o anume zi. Este estimata o rata de 100 - 300 virusi noi lunar.

Un vierme este un program independent. Se reproduce autocopiindu-se de la un calculator la altul intr-o retea. Spre deosebire de virusi, viermii nu distrug date. Pagubele sunt determinate de degradarea resurselor retelei (datorita rapidei reproduceri a viermelui), blocarea unei resurse sau blocarea intregii retele. Un vierme nu are nevoie sa infecteze un program sau un suport de memorie externa ca sa se reproduca. El actioneaza singur si se foloseste de conexiunile de retea, intranet sau Internet, pentru a se propaga. Majoritatea dintre ei sunt integral prezenti in masina pe care s-au copiat folosind reteaua. Dar exista si viermi formati din mai multe segmente care functioneaza pe calculatoare diferite si comunica intre ei prin retea.

Viermii actuali se servesc de conexiunile pe IRC (Internet Relay Chat) cu soft client de tipul MIRC sau PIRCH sau mesagerie electronica pentru a se propaga. În acest ultim caz, viermii recupereaza ansamblul adreselor e-mail pentru a se autodistribui realizandu-se astfel o propagare masiva. În 2000, scripturi de tip vierme au cunoscut o crestere exponentiala. Virusul 'I Love You' era de fapt un script atasat la un mesaj electronic. Un virus macro de tip vierme numit Melissa dovedeste in egala masura puterea noilor virusi. Se trimite un mesaj la primele 50 de adrese din repertoarul OutLook avand atasat un fisier infestat. Odata documentul deschis, virusul va infecta toate fisierele Word stocate in calculator. În doua zile Melissa a facut inconjurul lumii.

Un cal troian este un fragment de cod care se camufleaza intr-un program si realizeaza diverse functii din aceasta pozitie. Desi pare a realiza o functie in sistem, un troian realizeaza si actiuni neautorizate. Prin aceste actiuni se pot colecta date despre sistemul respectiv. Troienii inteligenti nu lasa nici o urma a actiunii lor si pot fi astfel nedectati.

O bomba este un troian folosit pentru a introduce un virus, un vierme sau alte tipuri de atacuri. Este fie o componenta a unui program, fie un program independent. O bomba functioneaza prin declansarea unei serii de actiuni neautorizate in momentul aparitiei unor conditii predefinite (data si ora pentru o bomba sau o anumita actiune pentru o bomba logica).

O capcana este un mecanism inclus in sistem de cel care creeaza acel sistem. În acest fel, cel care creeaza o aplicatie are oricand acces in sistem, ocolind sistemele de securitate instalate. Uneori aceasta este     folosita pentru a testa sistemul mai rapid fara a implica si procesele impuse de securitate. Aceste solutii sunt de obicei sterse inainte ca aplicatia sa fie vanduta.

Spoof este numele generic dat unui program care determina un utilizator neavizat sa cedeze drepturile si privilegiile sale intr-o retea. Cel mai intalnit tip de spoof este cel pentru adrese IP in care atacatorul isi insuseste adresele IP ale altui utilizator.

Unele sisteme firewall pot oferi o protectie limitata prin faptul ca pot cauta anumite indicii sau amprente digitale ale programelor virus sau de tip cal troian cunoscute. Ecranarea realizata prin firewall nu este suficienta, de aceea se recomanda utilizarea unui soft de scanare a virusilor pe toate calculatoarele din retea. Auditorul va urmari masura in care s-a prevazut utilizarea de firewall pentru filtrarea intrarilor dinspre Internet si utilizarea de programe antivirus, actualizate permanent si executate regulat.

În vederea protejarii fata de atacul cu virusi se recomanda luarea urmatoarelor masuri:

• Informarea utilizatorilor cu privire la pericolul si modul de propagare al virusilor;
• Instalarea pe toate claculatoarele din retea de programe antivirus, actualizarea acestora facandu-se la cateva zile/saptamanal/lunar in functie de senzitivitatea sistemului;
• Trebuie sa existe programe pentru detectarea macro virusilor rezidenti in memorie;
• În cazul detectarii unui virus se va proceda la deconectarea din retea a calculatorului respectiv si anuntarea departamentului IT din organizatie;

Realizati periodic backup-ul serverelor;

Restrictoinati accesul utilizatorilor la floppy discuri;

Instalati aplicatii pe server si local doar in mod Read-Only.