6.1. Securitatea serviciilor internet

Retelele de calculatoare locale si de arie larga au schimbat aspectul utilizarii calculatoarelor. Astazi, spre deosebire de trecutul nu prea indepartat, in care calculatoarele erau separate si distincte, retelele permit utilizatorilor sa strabata instantaneu camere, tari sau intregul glob pentru a schimba mesaje electronice, pentru a accesa fisiere sau baze de date sau pentru a lucra pe calculatoare situate la mari distante. Un aspect crucial al retelelor de calculatoare, in special al comunicatiilor prin internet, il constituie securitatea informatiilor, devenita una din componentele majore ale internet-ului. j5f3fg
Vom analiza problemele de securitate specifice serviciilor internet, in stransa corelatie cu cele derivate din vulnerabilitatile posibile ale sistemului de operare UNIX.

6.2. Protocoale TCP/IP

Serviciile internet au la baza schimbul de mesaje intre o sursa si un destinatar. Principiul comunicarii este inspirat din sistemul postal: daca o persoana A doreste sa-i transmita ceva lui B, A impacheteaza obiectul, scrie pe pachet adresa expeditorului si a destinatarului si depune pachetul la cel mai apropiat oficiu postal. Similar, daca un utilizator A din internet doreste sa transmita un mesaj lui B, atunci mesajul trebuie "impachetat", mai precis incadrat de anumite informatii de control. Unitatea de date astfel obtinuta se numeste "pachet", prin analogie cu sistemul postal obisnuit. Informatia de control include adresa expeditorului si a destinatarului, specificate in forma numerica: patru numere naturale mai mici decat 256, despartite intre ele prin puncte. In sistemul postal obisnuit, in functie de localizarea destinatarului, pachetul poate fi transmis prin intermediul mai multor oficii postale intermediare. Ultimul oficiu postal din traseu livreaza pachetul destinatarului. Similar, intr-o retea de calculatoare, pachetul este dat unui comutator de pachete, numit si "ruter" (router), care are un rol similar oficiului postal si care il transmite catre destinatar. Eventual, pachetul traverseaza mai multe comutatoare intermediare. Ultimul comutator livreaza mesajul destinatarului.
Dirijarea pachetelor este efectuata automat de catre retea si respecta un set de reguli si conventii numit "protocol". Retelele de calculatoare pot folosi protocoale diferite, dar, pentru a putea comunica intre ele, trebuie sa adopte acelasi protocol. Retelele din internet folosesc protocolul IP (Internet Protocol). IP asigura livrarea pachetelor numai daca in functionarea retelelor nu apar erori. Daca un mesaj este prea lung, IP cere fragmentarea lui in mai multe pachete. Transmiterea pachetelor IP se face intre calculatoare gazda si nu direct, intre programele de aplicatie. Din aceste motive, protocolul IP este completat cu un altul, numit TCP (Transmission Control Protocol), care face fragmentarea si asigura transmiterea corecta a mesajelor intre utilizatori. Pachetele unui mesaj sunt numerotate, putandu-se verifica primirea lor in forma in care au fost transmise si reconstituirea mesajelor lungi, formate din mai multe pachete.
TCP este un protocol complicat. In unele cazuri, cand se transmite un singur mesaj, suficient de mic pentru a fi continut de un singur pachet, se poate folosi un protocol mai simplu, numit UDP (User Datagram Protocol).
La randul lor, operatiile de la nivel aplicatie se deruleaza si ele conform unor protocoale. De exemplu, posta electronica in internet se desfasoara dupa un protocol ce se numeste SMTP (Simple Mail Transfer Protocol). Functionarea lui se bazeaza pe serviciile oferite de protocoalele TCP si IP, carora le adauga functii noi, creand astfel servicii imbunatatite.
Functionarea protocoalelor TCP si IP presupune existenta unei comunicari directe intre noduri (ruter-e sau calculatoare gazda) adiacente din retea. Aceasta comunicare este realizata conform unor tehnologii diverse si se supune unor protocoale specifice, bine precizate. Ca urmare, TCP si IP se bazeaza, la randul lor pe serviciile oferite de alte protocoale. Se obtine, in ansamblu, o suita (ierarhie) de protocoale care depind unele de altele, dar care au ca punct central protocoalele TCP/IP. De aceea, ea este denumita suita TCP/IP sau familia de protocoale TCP/IP.
Protocoalele sunt grupate pe nivele. Aceasta grupare respecta principiul stratificarii: protocoalele sunt astfel proiectate incat nivelul N al destinatiei sa primeasca (fara modificari) obiectul transmis de nivelul N al sursei. Pentru respectarea acestui principiu, definitia oricarui protocol trebuie sa stabileasca doua aspecte: formatui unitatilor de date manipulate; actiunile posibile ale entitatilor de protocol care concura la realizarea serviciilor specifice protocolului.In modelul unei inter-reteie apar sistemele ce gazduiesc aplicatiile, numite si sisteme terminale, subretelele ia care aceste sisteme sunt conectate si sistemele intermediare, denumite in internet si porti sau ruter-e, ce conecteaza intre ele subretelele. Uzual, un sistem terminal are o singura interfata cu subreteaua la care este conectat, in timp ce un sistem intermediar are mai multe interfete, cate una pentru fiecare subretea la care este conectat. Rolul unui sistem intermediar este de a retransmite pachetele pe care le primeste de la o subretea, pe o alta subretea aflata pe calea spre sistemul terminal destinatar. Sistemul intermediar este legat la ambele subretele. Figura 1 arata un mesaj care traverseaza doua retele.

Aplicatia sursa din sistemul terminal 1 comunica un mesaj modulului TCP. Acesta construieste un pachet pe care nivelul IP il paseaza ca o datagrama subretelei a. in sistemul intermediar, datagrama ajunge la modulul IP care il ruteaza subretelei b. In sistemul terminal 2, IP extrage mesajul si il transmite aplicatiei receptor prin intermediul modulului TCP. Sa observam ca in sistemul intermediar, pentru receptia dirijarea si retransmiterea datagramelor, sunt necesare doar niveiele IP si interfata de retea.
Cu toate ca pot utiliza tehnologii de comunicatie diferite, toate subreteieie sunt tratate uniform in internet. O retea locala, una de arie larga sau o simpla legatura punct-la-punct intre doua sisteme din internet conteaza fiecare ca o subretea. Structura interna a internet-ului este ascunsa utilizatorilor Tot ceea ce vad ei este o singura retea foarte mare, ce leaga intre ele sisteme terminale si care le permite astfel accesul la resurse situate oriunde in internet.

6.3. Securitatea serviciilor TCP/IP

Conectarea unui calculator la internet presupune, in general, folosirea sistemului de operare UNIX si a suitei de protocoale TCP/IP. Aceste componente au propriile lor probleme de securitate, evidentiate in sectiunile anterioare ale cartii. Accesul la internet presupune, insa, si folosirea unui set de cateva zeci de servicii, programe, cu numeroase probleme de securitate, fie datorita unor erori in software, fie datorita neincorporarii unor facilitati de securitate potrivite. in general, pentru ca un utilizator sa poata lua masurile de securitate adecvate la conectarea in retea, el trebuie sa inteleaga modul in care sistemul de operare UNIX lucreaza cu internet -ul. Tocmai de aceea, acest paragraf explica cum functioneaza serviciile TCP/IP si evidentiaza care sunt problemele de securitate ale fiecaruia dintre ele.

6.4. Securitatea prin firewall

Termenul firewall provine din industria constructiilor civile. Multe din cladirile moderne au in structura lor firewalls - pereti special construiti, rezistenti la foc care, in cazul izbucnirii unui incendiu, au rolul de a impiedica sau incetini raspandirea focului, pana la sosirea pompierilor. Termenul a migrat si in constructia de masini, unde un firewall separa compartimentul motorului unei masini de habitaclu, pentru a proteja pasagerii.
Pentru stiinta calculatoarelor, probabil ca cel mai usor este sa descriem, mai intai, ceea ce un firewall nu este: un firewall nu este un simplu ruter sau un calculator gazda care asigura securitatea unei retele. in linii mari, un firewall (numit uneori si pasarela de securitate) este un sistem care impune o politica de control al accesului intre doua retele. Un firewall reprezinta implementarea acestei politici in termeni de configurare a retelei, unul sau mai multe sisteme gazda si ruter-e cu functiuni speciale, alte masuri de securitate, cum ar fi autentificarea prin metode criptografice a clientilor.

Cu alte cuvinte, un firewall este un mecanism folosit pentru a proteja o retea sigura din punctul de vedere al securitatii de una nesigura, in care nu putem avea incredere.
In mod tipic, una din retele este cea interna unei organizatii (sigura, de incredere), in timp ce cealalta este internet-ul (in care nu avem incredere din punctul de vedere al securitatii). Ultimele statistici referitoare la INTERNET arata ca in compunerea sa intra peste 50.000 de retele, cu un total de peste 2,5 milioane de sisteme gazda, cresterea fiind estimata la 4.000 de noi domenii si 150.000 de noi sisteme gazda pe luna. Dat fiind numarul si mai mare de utilizatori multi dintre acestia avand, din nefericire, statutul de hacker (cracker sau vandal) folosirea unui firewall are sens, deoarece probabilitatea "izbucnirii unui foc" undeva in internet este foarte mare.
Desi cele mai multe firewall-uri sunt, in mod curent, interpuse intre retelele interne si internet, conceptul de firewall nu vizeaza numai acest aspect, existand suficiente motive pentru folosirea firewall-urilor in oricare internet, inclusiv in retelele cu arie larga (WAN) ale diferitelor companii. Deoarece un firewall este dispus la intersectia dintre doua retele, acesta poate fi folosit si in alte scopuri decat acela de control al accesului:
• pentru a monitoriza comunicatiile dintre o retea interna si o retea externa. De exemplu, un firewall poate jurnaliza (monitoriza, inregistra) seviciile folosite si cantitatea de date transferata prin conexiuni TCP/IP intre propria organizatie si lumea exterioara;
• un firewall poate fi folosit pentru interceptarea si inregistrarea tuturor comunicatiilor dintre reteaua interna si exterior. O linie inchiriata, care permite viteze de pana la 128 Kbps, in conditiile in care ar fi folosita 100% din timp, ar transfera zilnic circa 1,4GB , ceea ce ar permite ca traficul pe cateva zile sa incapa pe o singura banda magnetica digitala de 8mm;
• daca o organizatie are mai multe retele, separate din punct de vedere geografic, fiecare avand cate un firewall, exista posibilitatea programarii acestor firewall-uri pentru a cripta automat continutul pachetelor transmise intre ele. in acest fel, pe suportul internet, organizatia isi poate realiza propria retea virtuala privata.

6.5. Protocolul Internet Protocol Version (IPv4)

Internet-ul poate fi definit ca o retea de retele, care utilizeaza suita de protocoale TCP/IP. Incepand cu 1982, cel mai folosit protocol internet a fost IPv4. In momentul de fata, se lucreaza la noua generatie de protocoale IP, numite si IPv6 sau IPng (Internet Protocol New Generation). La nivel abstract, internet-ul este foarte asemanator cu reteaua telefonica. Dar daca, in cazul retelei telefonice, pentru fiecare convorbire se aloca un circuit separat, in cazui internet-ului mai multe procese folosesc in comun aceleasi legaturi dintre calculatoare. Datele sunt trimise sub forma unor blocuri de caractere, numite datagrame sau pachete. Fiecare pachet este prefatat de un mic ansamblu de octeti, numit header (”antet”), urmat de datele propriu-zise, ce formeaza continutul pachetului. Dupa sosire la destinatie, datele transmise sub forma unor pachete distincte sunt reasamblate in unitati logice de tip fisier, mesaj etc. internet-ul comuta pachetele pe diferite rute de la sursa la destinatie, numindu-se, de aceea, retea cu comutare de pachete.
Exista trei cai distincte pentru conectarea a doua claculatoare, folosind protocolul IP. Cele doua calculatoare pot fi in aceeasi retea locala (Ethernet sau Token Ring). In acest caz, pachetele sunt incapsulate in pachetele folosite de protocoalele LAN; Cele doua calculatoare sunt direct legate printr-o linie seriala. Pachetele IP sunt transmise folosind unul din protocoalele SLIP (Serial Line Internet Protocol). CSLIP (Compressed SLIP) sau PPP (Point-to Point Protocol). Daca cele doua calculatoare sunt conectate fiecare la cate o retea locala linia telefonica leaga cele doua LAN-uri prin intermediul unor bridge-uri; Pachetele IP pot fi incapsulate in interiorul altor pachete folosite de alte protocoale retea. Astazi, multe linii inchiriate de 56 Kbps folosesc o incapsulare a pachetelor IP in pachete "frame relay"; in viitorul apropiat se va folosi protocolul ATM (Asynchronous Transfer Mode). in general, se poate considera IP ca fiind un protocol scalabil: el lucreaza la fel de bine in cadrul unei retele a unui mic birou, de pana la 10 statii, al unei retele de firma sau de universitate, avand in jur de cateva sute de statii sau al unei retele nationale sau internationale, cu mii de calculatoare interconectate. Calculatoarele conectate la o retea se numesc, in general, host-uri (calculatoare gazda). Conectarea intre retele se face prin calculatoare numite ruter-e, care folosesc tabele de rutare pentru a determina pe ce trasee sa trimita pachetele.

6.6. Adresarea in internet

Fiecare interfata pe care o are un calculator catre o retea IP are asignat un numar unic, de 32 de biti, care este "adresa" sa. Adresa este exprimata cel mai adesea sub forma unui set de 4 numere de 8 biti: de exemlu, 15.58.0.221. O adresa IP are o structura de forma a 4 numere zecimale, a.b.c.d, fiecare cuprins intre 0 si 255, pentru a putea fi reprezentat pe 8 biti. Teoretic, adresa IP de 32 de biti poate referi maxim 4.294.967.296 calculatoare legate in internet. Practic insa, numarul total de calculatoare ce pot fi conectate este mult mai mic, datorita modului in care aceste adrese sunt asignate. Organizatiilor li se atribuie blocuri de adrese, asa cum companiile de telefon asigneaza cate un cod pentru fiecare localitate sau regiune.
Noul protocol IPv6 furnizeaza un spatiu de adrese mai mare pentru host-un si retele datorita sistemului de adresare pe 128 de biti.
In schema de adresare clasica exista 5 tipuri de adrese IP. Cei mai semnificativi biti ai adresei definesc clasa de retea la care apartine adresa. Ceilalti biti sunt divizati intr-o parte ce desemneaza reteaua si o alta specifica host-ului.
Clasa A. Host-urile retelelor de clasa A au adresa de forma N.a.b.c, unde N reprezinta numarul de retea, iar a.b.c numarul host-ului. Bitul cel mai semnificativ al lui N trebuie sa fie zero (primul octet este mai mic de 128, putand exista astfel 126 de retele de clasa A). Nu exista, deci, prea multe retele de clasa A. De exemplu, daca reteaua dumneavoastra are pana la 16.387.064 de calculatoare, nu este necesara o adresa de clasa A. Unele organizatii mari, cum ar fi MIT sau BBN au asignate retele de tip A, insa ele nu isi pun toate calculatoarele in aceeasi retea si subdivid aceasta in mai multe retele de clasa B sau C.
Clasa B. Host-urile au o adresa de forma N.M.a.b, unde N.M este numarul retelei, iar a.b numarul host-ilui. Cei mai semnificativi 2 biti ai lui N trebuie sa fie 10 (primul octet intre 129 si 191). Retele de clasa 8 sunt, in general, cele ale unor mari universitati sau companii. Pot exista cate 65.534 de host-uri in maximum 16.002 de retele de clasa B.
Clasa C. Host-urile au o adresa de forma N.M.O.a, unde N.M.O este numarul retelei, iar a, numarul host-ului. Cei mai semnificativi 3 biti ai lui N trebuie sa fie 110 (intre 192 si 223). Astfel de retele pot administra maximum cate 254 de host-uri in 1.999.996 retele de clasa C. Cele mai multe organizatii au una sau mai multe retele de clasa C.
Clasa D. Host-urile au o adresa de forma N.M.O.a, unde N.M.O este numarul retelei, iar a, numarul host-ului. Cei mai semnificativi 4 biti ai lui N trebuie sa fie 1110 (primul octet intre 224 si 239). Astfel de adrese sunt folosite in multicast adica, multimi de host-uri care asteapta pe o aceeasi adresa pentru a primi pachete ce contin in interior adresa destinatie a statiei.
Clasa E. Host-urile au o adresa de forma N.M.O.P, unde N.M.O.P are cei mai semnificativi 5 biti ai lui N, 1111. Aceste adrese sunt folosite doar pentru anumite experimente.
Odata cu explozia numarului de calculatoare conectate la internet, s-a dezvoltat, in ultimii ani, o noua metoda de asignare a adreselor, numita CIDR (Classes InterDomain Routing). Aici nu exista clase, ca in schema clasica. Retelele sunt definite de cei mai semnificativi k biti ai adreselor, restul de 32-k biti desemnand host-ui. Astfel, un furnizor de servicii poate aloca un set de adrese, in care primii 12 biti reprezinta o valoare fixa (adresa retelei), iar restul de 20 de biti reprezinta host-ui. Aceasta solutie permite furnizorului de servicii sa aloce 220 de adrese distincte pentru clienti.
6.7. Ruter-e si protocoale de rutare

In ciuda complexitatii modului de construire a adreselor internet, calculatoarele pot sa isi transmita usor mesaje, unele altora. Pentru a trimite un pachet, calculatoarele seteaza adresa destinatie in interiorul pachetului. Apoi, trimit pachetul unui calculator special al retelei locale, numit ruter. Acesta poate determina catre ce calculator (ruter) sa trimita pachetul mai departe, pentru a ajunge la destinatie. Multe organizatii configureaza reteaua lor interna ca un arbore. In radacina se afla calculatorul care face legatura cu internet-ul. Atunci cand un ruter primeste un pachet, el decide daca trebuie sa-l dirijeze catre una din subretelele sale sau catre radacina.
Functionarea schemei de rutare se bazeaza pe continutul tabelelor de rutare. Acesta poate fi stabilit la initializarea retelei (rutare statica) sau in timpul functionarii ei (rutare dinamica). Algoritmii folositi in stabilirea tabelelor, numiti algoritmi de rutare, au la baza diferite criterii, cum ar fi alegerea cailor mai scurte, incarcarea uniforma a subretelelor etc. Din punctul de vedere al utilizatorului, rutarea este transparenta. Singurul lucru ce trebuie stiut este adresa de 32 de biti a calculatorului destinatie.
Un element important al schemei este punerea in corespondenta a adreselor de retea (adrese IP) cu adresele MAC. Operatia este ingreunata de formatele diferite adoptate la cele doua nivele: adresele IP au 32 de biti, in timp ce adresele MAC Ethernet au 48 de biti. Pentru a realiza aceasta corespondenta, se folosesc protocoalele speciale (ARP, RARP), care se bazeaza pe interogarea tuturor statiilor unei subretele pentru determinarea adreselor MAC si pe alcatuirea unei tabele de corespondente.
Schema de rutare prezentata functioneaza corect daca nu apar caderi ale liniilor de comunicatie sau ale sistemelor de calcul. In practica, aceste defectari nu pot fi evitate. Cunoasterea lor si transmiterea informatiilor de stare intre ruter-e se face conform protocolului ICMP (Internet Control Messages Protocol).

6.8. Arhitectura client-server

Diferitele functii ale internet-ului sunt apelate de catre utilizatori prin programele de aplicatii, situate in sisteme terminale. Aceste programe trebuie sa coopereze pentru a furniza un serviciu in internet, cum ar fi posta electronica, transferul de fisiere, serviciul de stiri etc. Cooperarea se face dupa modelul client-server, care descrie o relatie dintre furnizorul unui serviciu, numit server, si solicitantul serviciului, numit client. Relatia are la baza o comunicare de forma unor perechi cerere-raspuns.
Server-ul este un program care accepta cererile sosite prin retea, executa un serviciu, dupa care transmite rezultatul catre programul solicitant. Un program client transmite o cerere unui server, asteptand raspunsul. Este transparent pentru utilizator faptul ca serviciul solicitat este executat in alt calculator, nu pe cel in care este localizat clientul. Unele calculatoare au ca rol principal furnizarea unui serviciu. In acest caz, termenul de server este folosit atat pentru a desemna programul care realizeaza serviciul, cat si pentru calculatorul unde este executat programul.

In cazul serviciilor simple, fiecare cerere soseste ca o datagrama IP, raspunsul fiind transmis tot ca o datagrama (protocolul UDP). Procesul server incepe prin a cere sistemului de operare un anumit pori. De obicei, port-urile alocate diferitelor servicii standard sunt predefinite, realizandu-se un sistem simplu de adresare pentru clienti, care trebuie sa cunoasca adresele acestor port-uri.

6.9. Sistemul de nume in internet

Chiar daca pare simplu, mecanismul de adresare prin numar este de utilitate practica redusa, utilizatorii preferand nume, care pot fi tinute minte usor. Este important de notat ca numele reprezinta un corespondent al adreselor numerice, oferind utilizatorilor o forma mai convenabila de adresare. Este, de asemenea, important de stiut ca un sistem de nume este folosit in aceeasi maniera cu o carte de telefon: cunoscand numele unei persoane, putem afla numarul sau de telefon. in fine, asa cum numerele de telefon inscrise in carti sunt organizate pe localitati, sistemul de nume din internet este structurat pe domenii sau zone de responsabilitate. Diferenta este ca un domeniu poate contine, la randul sau, mai multe subdomenii, structura avand mai multe nivele. De aici si numele, Domain Name System - DNS, al acestei scheme folosita in internet.
DNS este un sistem de baze de date distribuite, folosite pentru translatarea numelor de host-un in adrese IP si viceversa. Server-ele DNS sunt apelate de host-uri prin intrebari UDP. Intrebarile pot fi adresate si prin TCP, dar TCP este, de obicei, rezervat transferurilor de zone, utilizate de server-ele secundare (de salvare sau backup) pentru obtinerea unor copii ale bazelor de date de la server-ele principale. Aceste transferuri de zone pot fi interceptate si exploatate de hacker-i pentru obtinerea rapida a unei liste a tintelor posibile dintr-un domeniu.
DNS memoreaza mai multe tipuri de inregistrari. O lista prescurtata a acestor inregistrari:

- A - Adresa IP a host-ului;
- NS - Server de nume pentru domeniu. Deleaga un subarbore unui alt server;
- SO (Start of authority) - Denota inceputul subarborelui. Contine parametrii cache si de configuratie si da adresele persoanelor responsabile de zona;
- MX - Schimb de posta. Denumesc host-urile care proceseaza sosirea postei pentru tinta desemnata. Tinta poate contine metacaracterul *, atunci cand o singura inregistrare MX poate redirecta posta pentru un intreg arbore;
- HINFO -Tipul de host si infomatia despre sistemul de operare
- CNAME - Un alias pentru numele real al host-ului;
- PTR - Folosit pentru translatarea adresei IP in numele de host.
Sa consideram numele unix.cs.nps.mil, care reprezinta o adresa in internet. Aici, unix este numele unui calculator. El este gestionat de un grup, care se numeste cs (el corespunde aici cu catedra care detine calculatorul). Catedra este o parte a Universitatii Naval Postgraduate Scholl din Monterey (nps). La randul sau, nps face parte din grupul institutiilor militare din SUA (mil).
Sistemul este conceput astfel incat sa permita o gestiune distribuita a numelor. Astfel, mil se refera la toate calculatoarele din sistemul militar american, iar nps.mil la cele aflate la Universitatea de la Monterey. Gestionarul calculatoarelor din nps.mil poate atribui nume calculatoarelor sale, fara a tine cont de cele atribuite de gestionarul unei alte institutii, de exemplu mta.ro. De exemplu, daca ambii numesc cs un anumit departament, acestea pot fi diferentiate prin restul numelor de domenii, unul fiind cs.nps.mil, iar celalalt cs.mta.ro.
Pe de alta parte, este usor de gasit si adresa numerica pornind de la un nume dat. Este folosit in acest scop un serviciu similar celui de informatii telefonice, rolul serviciului de informatii este jucat de server-ele de nume. Fiecare server de nume pastreaza corespondenta "nume - adresa-numerica" relativa la un anumit domeniu. Cand cineva foloseste un nume, calculatorul il converteste in adresa numerica, folosind una din urmatoarele scheme: face conversia directa, deoarece numele apartine unui domeniu de care el este responsabil; stie corespondenta deoarece a mai folosit recent numele; stie cum sa gaseasca corespondenta; de exemplu, pentru adresa nodului ux.cso.uiuc.edu, comunica cu un server de nume special (radacina) si afla adresa server-ului responsabil de domeniul edu; comunica apoi cu acesta si afla adresa server-ului responsabil cu domeniul uiuc; comunica apoi cu acesta si gaseste server-ul responsabil cu cso; in fine, comunica cu acesta si afla adresa calculatorului ux.