Economie teoretic i aplicat Volumul XIX (2012), No. 4(569), pp.

34-55

Nonsecuritatea premis a criminalitii informatice

Ion IVAN Academia de Studii Economice, Bucureti ionivan@ase.ro Daniel MILODIN Academia de Studii Economice, Bucureti daniel.milodin@ase.ro Ctlin SBORA Academia de Studii Economice, Bucureti catalin.sbora@gmail.com

Rezumat. Se prezint conceptul de criminalitate informatic. Se detaliaz vulnerabilitile aplicaiilor informatice. Se enumer tipurile de fraude pe Internet. Sunt analizai factorii favorizani ai criminalitii informatice. Sunt identificate carenele sistemelor de securitate. Se construiete un model pentru managementul securitii informatice. Cuvinte-cheie: criminalitate informatic; aplicaii informatice; vulnerabiliti; skimming; phishing. Cod JEL: C63. Cod REL: 9J.

Nonsecuritatea premis a criminalitii informatice

35

1. Aplicaii informatice on-line i criminalitatea informatic Aplicaia informatic definete un produs software creat pentru automatizarea i creterea eficienei activitilor desfurate de om att n mediul virtual, ct i n mediul real. Domeniului de aplicare al produselor software pornete de la procese simple precum ncrcarea i tiprirea de formulare i continu cu procese complexe ce fac parte din programe de tehnologizare precum etapele de fabricare a produselor electronice. Principalul rol al unei aplicaii informatice este acela de a prelua i uura munca depus de factorul uman. De asemenea, folosind aplicaiile informatice se asigur accesul utilizatorilor la diverse produse i servicii. n cadrul serviciilor on-line, aplicaiile informatice preiau componenta de interaciune cu utilizatorul, asigurndu-i acestuia posibilitatea de documentare asupra produselor, de alegere a produselor dorite, de efectuare a plii, ns n cadrul operaiei de comand on-line trebuie interpus factorul uman, rolul acestuia fiind de a asigura transportul ntre magazinul on-line i beneficiar. Aplicaiile informatice au la baz un ansamblu de componente software i hardware, componentele hardware asigurnd echipamentul necesar funcionrii aplicaiei, iar componentele software asigurnd sistemele de programe ale aplicaiei. Un sistem informatic este compus din: calculatoare, sisteme de transmisie a datelor, alte componente hardware, software, datele prelucrate, personalul ce exploateaz tehnica de calcul, teoriile ce stau la baza algoritmilor de prelucrare (Ivan, Ciurea, 2009). Internetul, ca o mare reea de calculatoare, s-a dezvoltat an de an n ritm exploziv devenind baza tehnologiilor informatice. Internetul reprezint o reea a reelelor informaionale care reunete cteva mii de reele de ranguri diferite ce provin din zeci de ri ale lumii. Este o reea virtual format dintr-un numr n continu cretere de reele locale (Local Area Network-LAN) publice i private, reele pe arii extinse (Wide Area Network WAN), reele regionale i naionale interconectate (Ivan, Apostol, 2003, pp. 32-38). Volumul de informaie stocat i accesibil pe Internet crete rapid. Cercetri privind topologia Internet arat c n aparenta dezordine din Internet exist astfel caracteristici independente de scar i de autoorganizare. Astfel, Barabasi et al. demonstreaz c diametrul www, definit ca distana medie cea mai scurt dintre dou site-uri, nu era n anul 2000 mai mare de 19 legturi. Din cauza dependenei logaritmice de volumul Internet, chiar la o cretere de 1000% a www numrul de legturi nu va crete peste 21. Internetul, ca reea, ofer n continuare suport pentru dezvoltare. Tehnologiile i aplicaiile furnizate prin intermediul World Wide Web evolueaz ntr-un mod alert, oferind diversitate i utilitate n acelai timp. La ora actual,

36

Ion Ivan, Daniel Milodin, Ctlin Sbora

majoritatea serviciilor din lumea real i gsesc un echivalent virtual, accesibil prin intermediul Internetului, principalul avantaj oferit de Internet fiind economia de timp, datorit faptului c procesul de accesare a serviciilor se desfoar, n cea mai mare parte, n mod automat, nefiind necesar prezena fizic ntr-o anumit zon geografic pentru accesarea serviciilor oferite prin Internet. Dar i Internetul are anumite neajunsuri care sunt generate nu neaprat de tehnologie n sine ct mai ales de factorul uman. Neajunsurile sunt legate de pstrarea confidenialitii informaiilor care se vehiculeaz prin intermediul Internetului. Din cauza complexitii i eterogenitii sistemelor care sunt interconectate prin intermediul Internetului, este destul de greu s se asigure n totalitate confidenialitatea informaiei, lund n considerare c este suficient ca la un moment dat n unul dintre sistemele considerate sigure s fie descoperit o vulnerabilitate care s permit accesul neautorizat la resursele sistemului respectiv. Primul incident care a avut la baz exploatarea unor vulnerabiliti din sistemele de operare a fost nregistrat n 1988, odat cu apariia unei aplicaii care a fost creat n scop tiinific, pentru determinarea dimensiunii Internetului, aceast aplicaie fiind numit Morris Worm(1). Motivul pentru care aplicaia a fost considerat periculoas ine de faptul c se rspndea n reea i se executa n mod automat, fr a cere permisiunea utilizatorului, exploatnd anumite vulnerabiliti ale sistemelor de operare, existnd posibilitatea ca cineva s foloseasc aceast aplicaie pentru colectarea de informaii personale. A urmat o cretere exponenial a incidentelor de acest tip i ulterior a unei diversiti de alte tipuri. Cu ct cantitatea de date personale prezent pe Internet a crescut, cu att atacurile informatice au luat o amploare mai mare. Furtul electronic a devenit o prezen permanent n cazul stocrii, procesrii i transmiterii datelor n mediul on-line. Astzi, conceptul de criminalitate informatic reprezint o form de activitate infracional care const n obinerea unor date cu caracter confidenial, precum datele de acces pentru aplicaii de tip bancar, aplicaii de comer electronic sau informaii referitoare la carduri de credit, folosind tehnici de manipulare a datelor identitii unei persoane sau a unei instituii. nelciunea electronic cea mai uzual i cea mai cunoscut metod de nelciune prin intermediul mijloacelor electronice este operaiunea de tip phishing, procedeu prin care un utilizator de servicii financiare electronice este indus n eroare pentru a comunica informaii confideniale persoanelor neautorizate. Aceste informaii sunt utilizate ulterior pentru a obine acces la conturile bancare ale victimei, pentru a retrage bani din aceste conturi sau pentru a plti pentru diferite servicii i produse. Tehnicile i metodele folosite de ctre infractori sunt dintre cele mai diverse. Spre exemplu, clienii bncilor

Nonsecuritatea premis a criminalitii informatice

37

sunt contactai telefonic n numele unei anumite bnci i li se cer pur i simplu datele de identificare pentru acces la conturile acestora, justificnd cu necesitatea actualizrii datelor din sistemul informatic al bncii. O alt modalitate rspndit i folosit adesea prin intermediul internetului este transmiterea de e-mailuri cu aspect oficial prin care utilizatorii sunt ndrumai s acceseze anumite site-uri web cu ajutorul crora sunt colectate mai apoi datele personale ale utilizatorilor. Aceste site-uri web sunt copiate, termenul tehnic este de site clonat, la nivel grafic, de obicei dup site-uri oficiale ale instituiilor financiare, pclind foarte uor utilizatorul obinuit. Operaiunea de phishing a luat amploare odat cu rspndirea pe scar larg a serviciilor de online banking, ca urmare a posibilitilor aprute datorit deschiderii oferite de Internet, dar i din cauza lipsei unei organizaii care s reglementeze i s controleze accesul, n cazul tranzaciilor financiare. Un alt factor care a contribuit la succesul atacurilor de tip phishing este naivitatea utilizatorilor combinat cu lipsa unei instruiri adecvate referitoare la modul de utilizare i protejare a informaiilor personale. Dup cum se observ n graficul din figura 1, realizat pe baza datelor statistice furnizate de RSA(2), numrul atacurilor de tip phishing este n continu cretere pe msur ce apar noi unelte care s faciliteze crearea i dezvoltarea unor atacuri de tip phishing. Aceste unelte ofer infractorilor care nu au cunotine foarte solide n domeniul calculatoarelor acces la tehnologii destul de avansate, i de aceea este normal aceast cretere a numrului de atacuri din moment ce numrul de indivizi care lanseaz aceste atacuri crete.

Figura 1. Evoluia atacurilor de tip phishing n anul 2011(3)

38

Ion Ivan, Daniel Milodin, Ctlin Sbora

Aceste seturi de unelte, numite phishing kits, evolueaz i se transform ntr-o industrie. Dac n urm cu ceva timp cel care gndea i implementa mecanismele de phishing era i cel care lansa efectiv atacurile, n momentul de fa soluiile de phishing sunt implementate de grupuri bine organizate care vnd mai departe aceste seturi de unelte ctre cei care sunt dispui s le foloseasc i bineneles s plteasc pentru ele. Un set de unelte specializat pentru atacurile de tip phishing conine: unul sau mai multe programe informatice specializate, utilizate pentru crearea unei baze de date cu adrese de e-mail, adrese care sunt utilizate ulterior pentru a ajunge la intele atacului; unul sau mai multe programe informatice sau un plug-in pentru navigatoarele web, care s poat fi folosite ntr-o arhitectur Man-InThe Middle pentru a verifica n timp real validitatea informaiilor furnizate de utilizator; script-uri care s fie folosite pentru a determina specificaiile sistemului folosit de victim, aceste specificaii se rezum n cele mai multe cazuri la: rezoluia monitorului, versiunea navigatorului de internet, zona de timp n care se afl utilizatorul etc. unelte automate care scaneaz site-urile folosite ca int a atacului, pentru extragerea automat de simboluri grafice, surse HTML i alte elemente care s ajute mai departe la generarea unor pagini de autentificare care s fie identice din punct de vedere grafic, cu pagina original. Dup cum se observ, tendina este dezvoltarea structurilor infracionale pe mai multe niveluri, lucru care face din ce n ce mai dificil identificarea i eliminarea elementelor care stau la baz acestui tip de infraciune. Totui, odat cu automatizarea i folosirea unor abloane de atacuri devine posibil crearea de soluii de securitate care s identifice atacurile de tip phishing nainte ca acestea s afecteze utilizatorul final. Majoritatea furnizorilor de soluii de securitate au adugat mecanisme suplimentare n modulele existente pentru detectarea accesului neautorizat (Intrusion Detection System) pentru monitorizare coninutului care este afiat de ctre navigatoarele web, ct i n modulele pentru filtrarea mesajelor electronice (Spam Filters) pentru a reduce riscul ca utilizatorul s primeasc mesaje electronice de la servere considerate ca avnd un risc ridicat. Mergnd mai departe, crearea unei arhitecturi viabile pentru detectarea rapid i stoparea acestui tip de atac necesit utilizarea unor mecanisme colaborative ntre soluiile de securitate, n aa fel nct n momentul n care o soluie de securitate detecteaz un ablon de atac tip phishing acel ablon s fie distribuit n timp real ctre alte soluii de securitate. n momentul de fa acest lucru este realizat cel mai uor pentru soluiile

Nonsecuritatea premis a criminalitii informatice

39

provenite de la acelai productor, principalul motiv pentru care este mai dificil implementarea unei arhitecturi care s permit interoperarea soluiilor provenite de la mai muli productori deriv din faptul ca nu exist un protocol sau o modalitate de interoperare ntre soluiile diferiilor productori de soluii de securitate, dar mai intervine, bineneles, i factorul uman, prin prisma necesitii de a forma un grup de lucru care s reuneasc mai multe companii productoare de soluii de securitate n vederea stabilirii unui standard de stocare a informaiilor legate de atacurile de tip phishing. Opiuni de arhitectur pentru intercomunicarea ntre dou sau mai multe soluii de securitate sunt opiunea de conectare peer-to-peer, i opiunea de interconectare prin intermediul unor servere cu acoperire zonal. Cele dou arhitecturi sunt prezentate n figura 2 i n figura 3.

Internet

Figura 2. Reprezentare configuraie peer-to-peer

Pentru arhitectura peer-to-peer, n vederea evitrii buclelor prin propagarea multipl a aceluiai ablon de detecie, este nevoie de identificarea unor metode la nivel de protocol, pentru a stabili cnd anume nu mai este necesar transmiterea unui anumit ablon.

40

Ion Ivan, Daniel Milodin, Ctlin Sbora Server sincronizare pentru zona Z1

Sisteme din zona Z1

Sisteme din zona Zn

Internet

Server sincronizare pentru zona Zn Figura 3. Configuraie cu sincronizarea abloanelor prin servere zonale

Avantajul soluiei cu servere zonale este dat de faptul c se adapteaz mult mai uor la soluiile actuale de securitate, comparativ cu soluia care utilizeaz modelul peer-to-peer, n primul rnd datorit faptului c nu genereaz o dependen ntre soluiile de securitate deja existente, ci se bazeaz pe o structur fix a informaiilor de pe serverul de sincronizare. n acest fel fiecare productor este liber s implementeze i s optimizeze dup cum dorete soluia oferit utilizatorilor finali. Un alt aspect care este tratat difereniat pentru optimizarea resurselor i eficiena soluiei, n cadrul unei arhitecturi bazate pe servere zonale, este legat de faptul c atacurile informatice difer n intensitate i complexitate de la zon la zon dup cum se observ n graficul din figura 4, unde este reprezentat distribuia atacurilor de tip phishing la nivel global, graficul fiind realizat pe acelai set de date ca i cel folosit n graficul din figura 1. Un alt lucru ce se observ n figura 4 este faptul c majoritatea atacurilor sunt ndreptate ctre ceteni ai rilor cu economii dezvoltate i n care sistemele bancare sunt destul de evoluate i au atins un anumit grad de maturitate.

Nonsecuritatea premis a criminalitii informatice

41

Figura 4. Distribuirea atacurilor de tip phishing la nivel global(2)

Dintre metodele de fraudare cu ajutorul Internetului phishing-ul este una dintre metodele care presupune ca atacatorul s aib cunotine destul de solide n domeniul calculatoarelor i scrierea de aplicaii software n limbaje care permit accesul la orice zon de memorie. O bun parte din fraudele realizate cu ajutorul Internetului se bazeaz mai degrab pe inventivitatea i creativitatea infractorilor n materie de neltorii dect pe abilitile tehnice deosebite ale acestora. Aceste fraude, care depind de elemente tehnice numai ntr-o mic msur, sunt destul de greu de controlat, folosind mijloace tehnice (soluii de securitate), iar reuita sau nereuita acestor neltorii depinde n cea mai mare parte de factorul uman i de abilitatea acestuia de a identifica ncercrile de fraudare. Sunt prezentate n continuare metode de fraudare care implic elemente tehnice la nivelul unui utilizator normal al serviciilor de internet. Frauda prin solicitarea de taxe, prin care persoanei vizate i se solicit s plteasc n avans o serie de taxe, urmnd s primeasc n schimb o sum important de bani sau anumite premii n obiecte. Aceste taxe sunt prezentate, de obicei, ca taxe de procesare, taxe potale sau onorarii pentru realizarea unor acte notariale. Victima pltete aceste taxe i nu primete nimic. Cel mai bun exemplu pentru acest tip de fraud sunt scrisorile nigeriene, prin care victimei i se promit procente importante n schimbul ajutorului dat pentru a transfera sume foarte mari de bani dintr-o ar strin. ntr-o alt schem de fraud,

42

Ion Ivan, Daniel Milodin, Ctlin Sbora

victima este convins c a ctigat un premiu important la loterie, dar acesta nu exist. Fraudele ce implic licitaii online sunt realizate fie prin prezentarea pe site-urile de licitaii a unui obiect fals, care nu aparine infractorului sau nu ntrunete condiiile prezentate n anun, fie prin faptul c, dup ncasarea banilor, infractorul nu trimite produsul care a fcut obiectul tranzaciei. Frauda ce implic investiii, prin care infractorul trimite o ofert ce conine propuneri de investiii, solicitri de mprumuturi sau prezint anumite servicii ce sunt obinute ca rezultat al unei investiii. Victimele care trimit bani in urma acestor e-mailuri nu vor obine niciodat serviciile sau bunurile promise de infractor. Fraude de tip Business sau de tip Employment implic de regul un furt de identitate, o schema de retrimitere a mrfii i cecuri false. Cel care iniiaz frauda plaseaz un anun de angajare pe unul dintre site-urile cu oferte de lucru de pe Internet. Celor care rspund le sunt solicitate informaii personale confideniale, ca de exemplu data de natere i numrul asigurrii sociale. Ulterior, acestea vor fi utilizate de ctre iniiatorul fraudei pentru a cumpra produse pe credit. Acestea sunt trimise unei alte persoane care a rspuns la anun i care a fost angajat de ctre infractor pentru a recepiona marfa. Acesta retrimite produsele ctre ara de origine a iniiatorului fraudei. Infractorul, care de obicei se prezint ca o companie strin, pltete persoana care a retrimis produsele cu un cec fals ce conine de obicei o sum mai mare dect cea necesar pentru taxele de transport. Diferena de bani este transferat de persoana care a fcut livrarea napoi ctre infractor, nainte ca frauda s fie descoperit. 2. Vulnerabilitile aplicaiilor informatice Vulnerabilitatea aplicaiilor informatice este dat de faptul c informaia este pierdut, furat, modificat, folosit necorespunztor i decriptat ilegal, prima surs de vulnerabilitate fiind dat chiar de echipamentele utilizate, de software implementat i de sistemul de baze de date folosit. Vulnerabilitatea echipamentelor este strict legat de fiabilitatea acestora, echipamentele fiabile asigurnd o funcionare continu i n parametri a sistemelor gzduite, pe cnd echipamentele improprii concur la o funcionare neadecvat. Vulnerabilitatea software este dat n special de viruii informatici, n vreme ce vulnerabilitatea bazelor de date este n direct legtur cu accesarea neautorizat a datelor stocate, precum i de distrugerea n mod intenionat sau din greeal a datelor.

Nonsecuritatea premis a criminalitii informatice

43

Cele mai des ntlnite vulnerabiliti ale aplicaiilor informatice sunt date n figura 5:
SQL Injection

Logic Flaw

Verbose Errors

Authorization Bypass Cross-site Scripting (XSS)

Vulnerabiliti

Session Handling Flaw

Source Code Disclosure

Vulnerable Third Party Software

Remote Code Execution

Figura 5. Tipuri de vulnerabiliti pentru aplicaii informatice

SQL Injection se bazeaz pe faptul c majoritatea proiectelor web folosesc baze de date pentru a-i stoca i ordona datele. Structured Query Language (SQL) este folosit pentru a accesa informaiile dintr-o baz de date, sintaxa acesteia difer puin n cazul diferitelor servere de bazele de date, ns SQL este un limbaj universal potrivit pentru toate bazele de date. O vulnerabilitate numit injecie cu cod surs SQL, pe scurt injecie SQL, apare atunci cnd un atacator introduce orice date ntr-o interogare SQL sau cnd, prin injectarea sintaxei, logica declaraiei este modificat n asemenea fel nct s execute o aciune diferit. Cea mai bun metod de aprare mpotriva injeciilor SQL se bazeaz pe rutine puternice de validare a datelor de intrare. Logic Flaw pornete de la premisa c pn i pentru dezvoltarea celor mai simple aplicaii web este nevoie de o cantitate mare de logic pentru fiecare etap. Aceast logic prezint oportunitatea pentru erori logice, iar erorile logice ofer o baz foarte mare i variat de atac, de multe ori, ns, sunt trecute cu vederea deoarece sunt scanate cu programe specializate n identificare vulnerabilitilor. Erorile logice apar atunci cnd programatorul sau dezvoltatorul aplicaiei web nu ia n calcul toate efectele pe care le are asupra aplicaiei codul scris de el. Authorization Bypass este bazat pe procesul prin care se stabilete dac un utilizator, care folosete o anumit identitate, are permisiunea de a accesa o resurs sau nu, i dup verificare acordndu-i-se accesul la acea

44

Ion Ivan, Daniel Milodin, Ctlin Sbora

resurs, n concordan cu politicile sistemului, indiferent de identitatea lui real poart numele de autorizaie. Vulnerabilitile ce in de autorizaii i acces apar oriunde n aplicaia web, i se refer la ce se ntmpl atunci cnd un atacator are acces la o resurs la care, n mod normal, au acces doar utilizatorii autentificai sau care dein anumite privilegii n acele aplicaii. Cross-site Scripting (XSS) XSS este o tehnic de atac folosit pentru a fora o pagin web s afieze un cod maliios (scris, de obicei, n HTML (Hypertext Markup Language)/ JavaScript (numit malware)), pe care l execut ulterior n browserul unui utilizator. Acest tip de atac nu are ca int serverul siteului web (acesta este doar o gazd), ci codul malware este executat direct n browser, deoarece adevrata int a atacului este utilizatorul. Pentru a infecta un browser, trebuie vizitat o pagin care conine malware JavaScript. Vulnerable Third Party Software implic presupunerea c aplicaiile preluate de la alte companii sau de la ali useri sunt considerate implicit sigure. Multe aplicaii web provenite din tere pri sunt nesigure. Pentru asigurarea proteciei n aceste cazuri se recomand verificarea i testarea aplicaiilor preluate. Session Handling Flaw include aspecte ce in de manipularea datelor de autentificare ale utilizatorului i managementul sesiunilor active ale acestuia. Autentificarea este un proces critic al acestui aspect, dar pn i cele mai solide procese de autentificare sunt subminate de erori ale funciilor de management pentru verificarea credenialelor, incluznd: schimbarea parolelor, funcia de recuperare a parolelor uitate, funcia de amintire a parolelor de ctre aplicaia web, update-uri ale conturilor i alte funcii legate de acestea. Pentru a evita astfel de probleme, pentru orice fel de funcii legate de managementul conturilor, trebuie reautentificat utilizatorul, chiar dac acesta are un id de sesiune valid. Autentificarea utilizatorilor pe Internet necesit cel puin un nume de utilizator i o parol. Exist metode mai sigure de autentificare pe piaa de tip hardware i software bazate pe token-uri criptate i biometrie, ns acestea nu sunt foarte rspndite datorit costurilor mari de achiziionare. O gam larg de erori legate de conturi i managementul sesiunilor rezult n urma compromiterii conturilor utilizatorilor sau celor de administrare a sistemului. Verbose Errors nu sunt un tip de atac n sine, ns mesajele de eroare cu scop informativ conin adresele complete i numele fiierelor, descrieri ale tabelelor SQL, erori ale bazei de date sau alte erori legate de aplicaie i mediul n care ruleaz.

Nonsecuritatea premis a criminalitii informatice

45

Un formular tipic de autentificare i cere utilizatorului s introduc dou informaii (nume de utilizator i parol), alte aplicaii cer mai multe informaii (data naterii, un cod PIN). Cnd un proces de autentificare d gre, aplicaia detaliaz cauza eecului, fapt care expune securitatea codului. n cel mai simplu caz, unde autentificarea cere nume de utilizator i parol, aplicaia rspunde la o autentificare nereuit prin identificarea motivului (nu a recunoscut numele de utilizator sau parola este greit). Source Code Disclosure este o eroare de codare foarte des ntlnit n aplicaiile web, care este exploatat de ctre un atacator pentru a obine codul surs i configurarea fiierelor prin intermediul HTTP, acest lucru oferindu-i atacatorului o nelegere mai profund a logicii aplicaiei web. Multe pagini web ofer utilizatorilor fiiere pentru download folosind pagini dinamice specializate. Cnd browserul cere pagina dinamic, mai nti serverul execut fiierul i apoi returneaz rezultatul n browser, deci paginile dinamice sunt coduri executate pe serverul web. Dac aceast pagin nu este codat suficient de securizat, un atacator o exploateaz pentru a descrca codul surs i chiar fiierele de configurare. Folosind un atac de tip divulgarea codului surs, atacatorul obine codurile surs pentru aplicaiile de pe server cum ar fi: ASP, PHP i JSP. Obinerea codului surs al aplicaiilor de pe server i ofer atacatorului o imagine mai bun asupra logicii aplicaiei, modul n care aplicaia gestioneaz cererile i parametrii lor, structur bazei de date, vulnerabilitile codului i comentariile introduse n el. Odat ce are codul surs, atacatorul se pregtete pentru un atac asupra aplicaiei. Remote Code Execution acest tip de vulnerabiliti permit executarea unui set de instruciuni arbitrare, n contextul aplicaiei vulnerabile. Considernd c setul de instruciuni este controlat de atacator, aceste vulnerabiliti devin destul de periculoase n special atunci cnd aplicaiile vulnerabile au acces la operaii executate la nivelul sistemului de operare. Diminuarea vulnerabilitilor la nivelul aplicaiilor informatice se realizeaz prin msuri de control al accesului i creterea robusteii programelor. Toate acestea sunt realizate cu un anumit cost care este cu att mai mic cu ct msurile sunt luate n fazele de proiectare i realizare a sistemului. Se consider: S mulimea utilizatorilor format din elementele s1, s2, ..., si, ..., sNU; NU numrul utilizatorilor; A mulimea articolelor din baza de date a unei aplicaii informatice, format din elementele a1, a2, ..., ai, ..., aNA; NA numrul de articole din baza de date ce conine articole din mulimea A;

46

Ion Ivan, Daniel Milodin, Ctlin Sbora

H mulimea instruciunilor executabile ale produsului software pentru care se analizeaz non-securitateate, format din h1, h2, ..., hi, ..., hNH; NH numrul de instruciuni executabile ale produsului software; F(X,Y) funcia de analiz a diferenei dintre mulimile X i Y, avnd codomeniul [0;1], dac F(X,Y) = 1 nseamn c mulimile X i Y sunt identice; dac F(X,Y) = 0 nseamn c cele dou mulimi nu au niciun element comun; cu ct F(X,Y) tinde ctre 1, cu att mai multe elemente din cele dou mulimi sunt identice; cu ct F(X,Y) tinde ctre 0 rezult c sunt cu att mai multe elemente diferite; G(si) funcie definit pe S cu valori n S, ce corespunde modificrii comportamentului utilizatorilor; D(ai) funcie definit pe A, cu valori n A, ce corespunde modificrilor de coninut ale articolelor n baza de date; C(hi) funcie definit pe H, cu valori n H, ce corespunde modificrilor din textul surs care este construit pentru aplicaia informatic a crei nonsecuritate este analizat. Uzual, funciile G(), D(), C() au o definire bazat pe resursele ce sunt antrenate n vederea efecturii de modificri, unele controlate de ctre administratorul de aplicaie, altele controlate de cei care introduc elemente de nonsecuritate. Fiecrei dintre funcii (mai corect aplicaii) i se asociaz un graf. A identifica vulnerabiliti nseamn a gsi pe graful asociat fiecrei aplicaii acele arce care produc modificri asupra mulimilor S, A, respectiv H, modificri apreciate att de utilizatori, ct i de administratori ca avnd efecte nefavorabile asupra obiectivului pentru care a fost construit aplicaia. Se consider o mulime T = {t1, t2, ..., ti, ti+1, ..., tNT}, unde NT este numrul de momente de timp i se asociaz mulimilor S, A i H momente de timp, astfel nct S(ti) reprezint mulimea utilizatorilor la momentul ti, A(ti) reprezint mulimea articolelor din baza de date la momentul ti i H(ti) reprezint mulimea instruciunilor ce formeaz programul la momentul ti. Funcia F(X,Y) stabilete, n acest context, dac exist diferene ntre aceleai mulimi pentru momente de timp diferite, ceea ce impune s se efectueze calculele: F(S(ti),S(ti+1)) = k1 F(A(ti),A(ti+1)) = k2 F(H(ti),H(ti+1)) = k3 Funcie de nivelurile calculate k1, k2, k3 i funcie de arcele grafurilor care au condus la aceste valori se concluzioneaz dac transformrile sunt rezultatul unor tranzacii efectuate n aplicaie sau sunt efectul nonsecuritii.

Nonsecuritatea premis a criminalitii informatice

47

3. Ci de reducere a insecuritii Reducerea insecuritii se rezum de cele mai multe ori la acoperirea vulnerabilitilor fie prin actualizarea aplicaiilor vulnerabile, fie prin folosirea unor aplicaii de securitate specializate care s ofere protecie asupra atacurilor de tip zero-day. Cele mai rspndite atacuri de tip zero-day sunt atacurile care folosesc injectarea de cod SQL, i care de cele mai multe ori exploateaz vulnerabiliti datorate neglijenei din timpul procesului de dezvoltare i testare software, aadar o prim msur pentru a reduce acest gen de vulnerabiliti implic direct contientizarea dezvoltatorilor software asupra necesitii de a evita situaiile n care sunt permise construcii de interogri SQL, folosind datele introduse de utilizator fr niciun fel de verificare. Aadar o prim modalitate de reducere a insecuritii legate de injectarea de cod este contientizarea pericolelor nc din etapa dezvoltrii i abordarea unor metodologii de dezvoltare i testare care s ia n calcul i securitatea informaiei. n etapa dezvoltrii se folosesc urmtoarele tehnici pentru eliminarea sau reducerea pericolelor referitoare la injectarea de cod SQL: folosirea interogrilor precompilate (prepared statement); folosirea procedurilor stocate; validarea intrrilor de la utilizator, nainte de folosirea efectiv n construcia de interogri SQL; folosirea cadrelor de lucru de tip ORM (Object Relational Mapping Frameworks), gen Hibernate, Entity Framework etc. Aceste tehnici adug timpi suplimentari n etapa de nceput a dezvoltrii, din cauza necesitii de analiz i structurare corespunztoare a codului, dar pe termen lung folosirea de la bun nceput a unor astfel de tehnici duce la reducerea costurilor de dezvoltare, ntreinere i actualizare a aplicaiilor. Folosirea aplicaiilor de securitate capabile s previn atacurile de tip injectare de cod SQL introduce de cele mai multe ori procesri suplimentare, fapt ce afecteaz performana aplicaiei n cazul unei utilizri intense. O alt clas de vulnerabiliti cu impact destul de serios la nivelul unui sistem compromis este reprezentat de execuia de cod la distan. Acest tip de vulnerabilitate apare de cele mai multe ori datorit modului n care a fost scris codul din diferite aplicaii informatice, problemele de tip buffer overflow fiind cele care permit n multe cazuri executarea de cod arbitrar care s iniieze atacurile la distan. Codul de iniiere al atacului este de obicei un client TCP/IP care se conecteaz la un server, de unde primete comenzi pe care mai apoi le execut pe sistemul gazd, aadar atacatorul ajunge s dispun de acces nelimitat la resursele sistemul compromis. Atacurile folosind tehnici de tip buffer overflow se bazeaz pe execuia de cod binar din segmentul de

48

Ion Ivan, Daniel Milodin, Ctlin Sbora

program destinat datelor. Acest lucru a permis dezvoltarea unor tehnologii hardware care s mpiedice execuia de cod din segmentul destinat datelor, acestea fiind denumite generic tehnologii pentru prevenirea execuiei datelor Data Execution Prevention DEP i sunt implementate la nivelul microprocesoarelor, prin folosirea unor tehnici care presupun marcarea zonelor de memorie executabile, orice ncercare de a executa instruciuni din alte zone dect cele marcate pentru execuie fiind blocat. O alt tehnic folosit pentru executarea codului la distan are la baza exploatarea vulnerabilitilor de configurare pentru serverele web, astfel nct se genereaz probleme de tip Denial Of Service, compromiterea informaiilor utilizatorilor i funcionrii aplicaiilor web gzduite de serverele n cauz. Avnd n vedere c posibilitatea executrii de cod la distan are ca principal vector de aciune existena unei legturi la o reea de calculatoare, fie c este reea intern sau Internet, principala modalitate de prevenire a atacurilor de acest fel fiind folosirea sistemelor de monitorizare a traficului, sistemelor de tip firewall i sistemelor pentru detectarea accesului neautorizat (IDS Intrusion Detection Systems). Vulnerabilitile de la nivelul sistemelor de operare au cea mai mare acoperire ca i posibile victime, n primul rnd datorit faptului c orice dispozitiv modern capabil s ruleze un sistem informatic are la baz un sistem de operare, aadar impactul unei vulnerabiliti la nivelul unui sistem de operare este direct proporional cu numrul de dispozitive hardware care ruleaz respectivul sistem de operare i prin urmare efectele unei vulnerabiliti la acest nivelul sunt mult mai problematice dect efectele unei vulnerabiliti la nivelul oricrei aplicaii software. Productorii importani ai sistemelor de operare furnizeaz actualizri ale sistemelor aflate n utilizare cel puin o dat pe lun, n vederea acoperirii problemelor de securitate descoperite n diferitele scenarii de utilizare ca urmare a observrii continue a modului n care sistemele respective sunt folosite. Compania Microsoft, spre exemplu, productorul sistemului de operare Windows, pune la dispoziia utilizatorilor si pachetele de actualizare n ultima zi de mari a fiecrei luni calendaristice, aceast zi fiind denumit de profesionitii din domeniul IT Patch Tuesday. Pe lng pachetele de actualizare a software compania mai public i buletine de informare n care explic detaliile tehnice i motivele pentru care au fost fcute respectivele actualizri. Actualizrile sunt distribuite ctre utilizatorii sistemelor de operare prin intermediul Internetului i se aplic sistemelor n mod automat sau la cererea utilizatorului, recomandabil fiind configurarea sistemului pentru verificarea automat a pachetelor de actualizare cel puin o data pe zi. Aadar, pentru creterea securitii i reducerea posibilelor vulnerabiliti este foarte important ca sistemul de operare s fie cu actualizrile la zi. ntr-o organizaie n care

Nonsecuritatea premis a criminalitii informatice

49

numrul de sisteme informatice este ridicat trebuie s existe o strategie i o organizare pentru preluarea acestor actualizri. Acest lucru este necesar n primul rnd pentru a evita suprancrcarea conexiunii externe i a serverelor de actualizare, lucru care ar aduce sistemele n imposibilitatea de a prelua informaia necesar de la server, i expunerea pe perioad nedeterminat n faa potenialelor pericole acoperite de pachetele de actualizare. Cea mai eficient metod pentru a evita suprancrcarea conexiunii externe a organizaiei este aceea de a utiliza un server intern pentru actualizri, scopul acestui server fiind de a prelua actualizrile de la productorul sistemului de operare i a asigura distribuirea acestora n interiorul organizaiei. Figura 6 ilustreaz structura de organizare discutat.
Staie O11 Staie O12

Staie O1N Staie O21 Staie O22

Server Organizaie SO1

Staie O2N Staie On1 Staie On2

Server Organizaie SO2

Internet
Server Central cu pachete pentru actualizare

Staie OnN

Server Organizaie SOn

Figura 6. Structur arborescent pentru reducerea ncrcrii serverelor de actualizare

Utilizarea unui server intern eficientizeaz modul de lucru cu sistemele informatice, actualizrile fiind preluate de acesta i distribuite ulterior ctre toate sistemele de calcul.

50

Ion Ivan, Daniel Milodin, Ctlin Sbora

4. Factori favorizani ai criminalitii informatice Criminalitatea informatic este de cele mai multe ori justificat de ctigurile financiare imense obinute cu eforturi reduse, ntr-o perioad de timp relativ scurt. Acest tip de criminalitate se bazeaz pe diferite vulnerabiliti, descoperite n aplicaiile informatice create pentru a facilita i mbunti activitile specifice oamenilor, dar i pe neatenia celor care le folosesc. Aceste aplicaii informatice sunt de obicei destul de complexe, att din punct de vedere al logicii implementate, ct i din punct de vedere al funcionalitii, lucru care duce n cele mai multe cazuri la situaii n care nu sunt luate n considerare toate variabilele care afecteaz funcionalitatea, i n acest fel apar vulnerabilitile i problemele legate de sigurana cu care sunt gestionate datele. Aadar, unul dintre factorii care contribuie la crearea breelor de securitate i favorizarea criminalitii este chiar complexitatea aplicaiilor i numrul mare de funcionaliti implementate n acestea, cu ct o aplicaie este mai complex cu att ansele de a descoperi probleme de securitate sunt mai mari. De multe ori utilizatorii sunt cei care favorizeaz i nlesnesc operarea infractorilor, dnd dovad de naivitate i neatenie n momentul n care se angajeaz n tranzacii financiare cu persoane sau companii care nu le sunt cunoscute i care nu prezint siguran. Din categoria factorilor favorizani ai criminalitii informatice care depind n mare msur de factorul uman enumerm: utilizarea msurilor de plat on-line n medii de lucru nesecurizate; furnizarea datelor cu caracter secret la accesarea unor site-uri de origine dubioas; neutilizarea de site-uri dedicate unor anumite activiti i care au un grad ridicat de certificare; neverificarea informaiilor furnizate de vnztorii on-line: numere de telefon, adrese de email; efectuarea de pli n avans, fr a exista o confirmare a trimiterii produselor; furnizarea de informaii suplimentare de ctre cumprtor, n condiiile n care acestea nu sunt necesare pentru validarea tranzaciei. Acordarea unui plus de atenie informaiilor solicitate la efectuarea tranzaciei, citirea tuturor condiiilor implicate, verificarea site-urilor prin intermediul crora se efectueaz diversele comercializrii on-line contribuie la scderea numrului de persoane care sunt fraudate n mediul electronic. Principala cauz a infracionalitii on-line ine de latura uman. Cu privire la aceasta se impune creterea nivelului de prezentare i contientizare a

Nonsecuritatea premis a criminalitii informatice

51

pericolului reprezentat de furtul electronic. O persoan care cunoate acest tip de fraude este o persoan care va naviga cu mai mult atenie pe Internet. Educarea utilizatorului n vederea prevenirii acestor modaliti de fraudare este un prim pas spre diminuarea efectelor. Cunoscnd mai bine pericolele la care se expune, utilizatorul va analiza opiunile care i se ofer la momentul accesrii unui site. Este cunoscut faptul c foarte multe persoane au fost fraudate prin promoii false prin care le era cerut s transmit un anumit mesaj pentru a putea beneficia de ctiguri, n fapt ele ncrcnd cu credit cartele deinute de infractori. nelegerea i contientizarea pericolului de a fi furat electronic contribuie la evitarea situaiilor n care un utilizator netiutor dezvluie unor persoane necunoscute datele de identificare i codurile de acces. Din punct de vedere tehnic, factorii care contribuie la crearea breelor de securitate sunt generai de faptul c n timpul procesului de producie a aplicaiilor software nu este acordat suficient atenie posibilelor probleme de securitate, atenia concentrndu-se n cea mai mare parte asupra implementrii corecte a aplicaiei din puncte de vedere logic, relativ la cerinele de funcionalitate. Punerea pe pia a produselor software fr a mpacheta codul binar rezultat n urma compilrii codului surs este un alt factor care contribuie semnificativ la reducerea efortului pe care infractorii informatici l depun pentru compromiterea unei aplicaii software. mpachetarea codului binar presupune criptarea textului binar executabil n aa fel nct n momentul n care cineva ncearc dezasamblarea/decompilarea aplicaiei s nu neleag logica aplicaiei i mai ales s nu identifice diversele probleme de securitate n cazul n care acestea exist. Pe lng mpachetarea aplicaiilor este recomandat de asemenea i semnarea folosind certificate digitale a aplicaiilor, acest lucru permind utilizatorilor s identifice situaiile n care, n urma infectrii cu programe virus, diverse componente ale aplicaiei legitime au fost nlocuite de componente ale virusului, permind astfel execuia codului virus cu privilegiile unui administrator al sistemului i mrind n acelai timp abilitatea de rspndire i de atac a virusului informatic, deci nesemnarea digital a aplicaiilor informatice este un alt factor care crete expunerea la elemente infracionale. n cazul n care pentru o organizaie de dimensiuni medii i mari nu exist politici de securitate bine definite i nu exist o organizare care s permit identificarea din timp i remedierea rapid a vulnerabilitilor la care este expus organizaia, este favorizat n mod direct reuita atacurilor informatice. Cunoaterea factorilor care favorizeaz insecuritatea permite dezvoltarea de tehnici i metode care s combat efectele i s previn apariia atacurilor informatice.

52

Ion Ivan, Daniel Milodin, Ctlin Sbora

5. Carene ale sistemelor de securitate Sistemele de securitate folosite pentru protejarea sistemelor informatice sunt la rndul lor tot aplicaii informatice, fiind expuse n aceeai msur la atacuri informatice, diferena constnd n faptul c de cele mai multe ori aceste aplicaii au mecanisme proprii de protecie mpotriva ncercrilor de modificare neautorizat a comportamentului soluiei, cum ar fi prevenirea nchiderii forate a soluiei de securitate, prevenirea injectrii de cod. De cele mai multe ori sistemele de securitate sunt sisteme complexe, care necesit cunotine tehnice deosebite pentru implementare, de aceea este posibil tot timpul apariia unor probleme de securitate chiar n interiorul soluiilor de securitate, i exemple exist chiar i pentru marii productori de soluii de securitate cum ar fi McAfee, Symantec. Sistemele de securitate sunt de obicei specializate pe anumite tipuri de atacuri i vulnerabiliti i nu ofer ntotdeauna protecie 100% mpotriva atacurilor informatice, de aceea este de multe ori necesar folosirea soluiilor de securitate combinate pentru a obine un grad de acoperire a proteciei ct mai ridicat. Sistemele de securitate cele mai rspndite sunt cele folosite pentru detectarea aplicaiilor de tip malware, acestea bazndu-se n cea mai mare parte pe recunoaterea aplicaiilor avnd potenial de distrugere cu ajutorul unor baze de date actualizate zilnic de ctre laboratoarele companiilor de securitate, iar actualizrile realizate la nivel central sunt distribuite ulterior utilizatorilor prin intermediul Internetului. Numrul de aplicaii tip malware, create n fiecare zi, a ajuns la 73000 n martie 2011, conform Panda Security(3), ceea ce face aceast modalitate de protecie s i piard din eficien datorit volumului mare de informaie ce trebuie actualizat i distribuit utilizatorilor, iar dac se mai ia n considerare i faptul c la un moment dat utilizatorii, datorit unor configuraii eronate, nu mai primesc actualizrile de la server, deja problemele devin evidente. Chiar dac se presupune c la un moment dat se asigur sincronizarea semnturilor de pe serverul companiei de securitate cu semnturile de la utilizator, este puin probabil ca aceste semnturi s acopere n totalitate aplicaiile malware lansate, aadar aceast abordare conduce inevitabil la situaia n care infractorii sunt mereu cu un pas nainte. Din acest motiv o parte din productorii de soluii antivirus au nceput s implementeze soluii bazate pe detectarea comportamentului aplicaiilor Behavior-Based Malware Detection, lucru care permite detectarea aplicaiilor malware prin metode euristice. Aceast tehnologie este nc n faz incipient i este de obicei folosit n combinaie cu metodele clasice bazate pe semnturi. Una dintre problemele des ntlnite n implementrile bazate pe comportament sunt alertele false False Positives, din cauza faptului c este oricnd posibil ca o aplicaie

Nonsecuritatea premis a criminalitii informatice

53

informatic normal s reproduc parial sau integral aciunile unei aplicaii malware. Aadar, n momentul de fa eficiena E a unui sistem anti-malware este determinat pe baza a cel puin doi factori: procentul de alerte corecte i procentul de ameninri nedetectate, folosind formula: [PAC + (100 PAN)] / 2, PAN <> 100 E= 0, PAN=0 PAC procent alerte corecte din numrul total de alerte; PAN procent ameninri nedetectate; nd numrul total de detectri. Pornind de la aceste modaliti de msurare a eficienei unui sistem de securitate se stabilete n ce msur un sistem de securitate este potrivit sau nu pentru scopul impus. Carenele sistemelor de securitate depind de natura sistemelor informatice unde sunt ncorporate elementele de securitate. n cazul sistemelor bancare carenele apar i din cauza comportamentului neglijent al operatorului, din cauza modului defectuos de a gestiona datele cu caracter personal sau a celor cu caracter confidenial i mai ales din cauza implementrii unor proceduri de siguran care nu rspund n timp real provocrilor externe primite de ctre un sistem informatic. Existena unei viziuni care s prentmpine problemele de securitate i implementarea de proceduri de siguran care s ruleze n situaii noi, n care sistemul informatic este atacat, sunt condiii care reduc breele de siguran. n cadrul sistemelor informatice trebuie avut n vedere implementarea de proceduri privitoare la timpii de rspuns care s ajute la identificarea adevratului titular al datelor de acces. Depirea unor timp presetai duce la rularea unor programe de siguran diferite, care s conduc inclusiv la informarea unui operator uman care s execute o validare a problemei. Implementarea procedurilor bazate pe timpii de rspuns asigur un timp minim de manipulare a datelor de acces la sistemul informatic, ntrzierea ducnd la situaia n care o persoan strin ncearc s acceseze sistemul informatic n mod neautorizat. De asemenea, coroborarea de proceduri bazate pe timpi de acces cu proceduri bazate pe introducerea n mod unic a unei chei de acces conduce la o securizare superioar a sistemelor informatice.

54

Ion Ivan, Daniel Milodin, Ctlin Sbora

6. Concluzii Conform unui studiu recent al companiei Symantec(4), din punct de vedere financiar, pierderile anuale directe la nivel global cauzate de criminalitatea informatic s-au ridicat la valoarea de 114 miliarde de dolari, la acestea adugndu-se i pierderile indirecte generate n urma incidentelor de securitate, aproximate la 274 miliarde de dolari. Aadar, dup cum se observ, nonsecuritatea genereaz o serie de probleme care, n cele din urm, n cazul companiilor se transform direct n pierderi financiare. Nu exist sisteme de securitate perfecte, care s asigure n acelai timp protecie total pentru toate clasele de utilizatori, dar folosirea sistemelor de securitate adecvate reduce n mod semnificativ posibilitatea ca informaiile sensibile s fie compromise. Este foarte important ca fiecare utilizator de sisteme informatice s neleag riscurile la care se expune i s aleag un sistem de securitate adecvat situaiei n care se afl. Trebuie ca cercetarea tiinific s produc noi tehnici, metode i instrumente care s contracareze efecte de insecuritate, dar i s prevad provocri i s fie cu un pas nainte n prevenirea lor. Aa cum se observ, criminalitatea informatic a parcurs diverse etape evolutive, pornind de la simplul atac asupra unui calculator, folosind un virus, malware, troian, ajungnd la atacul asupra unei ntregi ramuri economice a unui stat. Pericolul criminalitii informatice este cu att mai mare cu ct implic preluarea unor date considerate cu caracter personal i confidenial care asigur accesul la resursele personale ale unei pri componente a populaiei ce face obiectul atacurilor; ca urmare sporirea protecie mpotriva acestor atacuri trebuie realizat nc din primele etape ale crerii sistemelor informatice, nlturndu-se astfel pericolul propagrii efectelor asupra utilizatorilor implicai n lucrul cu resursele de calcul. Note
Carnegie Melon Software Engineering Institute, Security of the Internet, Froehlich/Kent Encyclopedia of Telecommunications, vol. 15. (2) Vezi RSA Fraud Report, Noiembrie 2011, http://www.rsa.com/ (3) Vezi http://press.pandasecurity.com/usa/news/creation-of-new-malware-increases-by-26percent-reaching-more-than-73000-samples-every-day-according-to-pandalabs/ (4) Vezi http://www.symantec.com/about/news/release/article.jsp?prid=20110907_02, accesat Ianuarie 2012.
(1)

Nonsecuritatea premis a criminalitii informatice

55

Bibliografie
Ivan, I., Apostol, C., Certificarea produselor program prin amprente, Revista Romn de Informatic i Automatic, vol. 13, nr. 1, 2003, pp. 32-38, ISSN 1220-1758 Ivan, I., Toma, C., Testarea interfeelor om-calculator, Revista Romn de Informatic i Automatic, vol. 13, nr. 2, 2003, pp. 22-29, ISSN 1220-1758 Golooiu-Georgescu Ligia (2003). Mijloace, modaliti i instrumente de plat, Editura ASE, Bucureti www.bnro.ro Barabasi A. L. et al., Scale free characteristics of random networks: the topology of the worldwide web, Physica A, Elsevier Science B.V., 2000 Ivan, I., Ciurea, C., Quality Characteristics of Collaborative Systems, Proceedings of The Second International Conferences on Advances in Computer-Human Interactions, ACHI 2009, February 1-7, 2009, Cancun, Mexico, paper published by IEEE Computer Society Press and IEEE XPlore Digital Library, ISBN 978-1-4244-3351-3