Documente Academic
Documente Profesional
Documente Cultură
CONTINUT
Securitatea reelelor informatice .............1 Cerine pentru securizarea informaiei ..3 Domenii ale securizrii ..................................4 Securizarea accesului la informaie ..........4 Asigurarea accesului persoanelor autorizate Nume de identificare i parole....................4 Rolul parolei ........................................................5 Alegerea parolei ................................................5 Pericole legate de folosirea parolelor ......6 Interceptarea parolelor keyloggere ......7 Echipamente keylogger .................................7 Interceptarea tastaturilor wireless..........7 Keyloggere acustice .........................................7 Emisii electromagnetice ................................7 Supraveghere optic .......................................7 Metode de prevenire a interceptrii parolelor 7 Parole dinamice (de unic utilizare) .......7 Tastaturi afiate pe ecran ............................8 Tastaturi web .....................................................8 Anti-keylogging software..............................8 Recuperarea parolelor ...................................8 Schimbarea parolelor .....................................9 Prevenirea accesului persoanelor neautorizate 9 Penetrarea reelelor ......................................9 Malware ...............................................................9 Virui informatici..............................................9 Adware...................................................................9 Backdoor............................................................ 10 Troian cu administrare la distan ....... 10 Rootkit ................................................................ 10 Programe de spionare - Spyware ........... 10 1 4
Atacuri mpotriva sistemelor informatice Hackeri i crackeri ........................................ 11 Tehnici de atac i acces neautorizat ...... 11 Furtul de identitate ...................................... 11
10
neautorizate ..................................................... 12 Managementul actualizrilor de securitate 12 Sisteme firewall .............................................12 Sisteme de detectare a intruziunilor ....13 Prevenirea acceselor neautorizate ........ 13 Criptare, semnturi i certificate digitale15 Criptare i criptanaliz ............................... 15 Criptarea ............................................................15 Criptanaliza ......................................................15 Algoritmi i chei de criptare ..................... 16 DES standard de criptare a datelor ...16 Criptarea convenional cu chei simetrice Criptarea cu chei publice ........................... 17 RSA........................................................................17 Comunicarea prin criptare cu chei publice 18 Infrastructur de chei publice PKI ......... 18 Semntura electronic (digital)...........18 Certificatul digital .........................................19 Standarde de securitate pentru schimbul de informaii ..........................................................19 Autoriti de certificare .............................. 20 Certificate proprii sau serviciile autoritilor de certificare? ........................................................20 PGP ...................................................................... 21 Aspecte juridice ale folosirii criptrii ... 21 16
Legislaie general privind accesul la informaie din reele informatice .......................................... 21 Controlul exportului de sisteme de criptare 22 Accesul securizat n reelele informatice22 Accesul in reelele informatice ................ 23 Accesul fizic in cldiri sau ncperi ........ 23 Accesul la distan in reelele informatice 23
Securitatea fizic a datelor........................ 24 Riscuri pentru echipamente ..................... 25 Riscuri pentru date i aplicaii ................ 25 Planuri de recuperarea a daunelor........ 26 Costul msurilor de securitate ................ 26 Centre de date ................................................ 26 Index ................................................................ 28
Tehnologiile informaiei i comunicaiilor produc ample schimbri n organizaii. Reelele de calculatoare folosesc tehnologiile Internet, larg diseminate i cunoscute i uor de asimilat. ntreaga activitate a organizaiei se construiete n jurul intranet i este dependent de acesta. O nou economie s-a nscut i transform economia existent. Schimbarea afecteaz toate domeniile i toate ntreprinderile. Fenomenul Internet joac un rol central n aceast transformare, punnd la dispoziie pe scar larg resursele informaionale. Dac electricitii i-a trebuit un secol pentru a ptrunde n ntreaga lume, reelele Internet sunt astzi folosite de peste 2 miliarde de oameni1 i aplicaiile lor economice, n special platformele de afaceri electronice2, se rspndesc rapid cursa nefiind nc ncheiat. A fost construit o nou infrastructur tehnic. Industriile legate de tehnologiile informaiei i comunicaiilor creeaz locuri de munc ntr-un ritm mai rapid dect celelalte industrii. Tehnologiile informaiei i comunicaiilor reprezint azi principalul instrument pentru folosirea eficient pe scar larg a informaiei n organizaii i societate. Ele produc schimbri n organizaie i n viaa de zi cu zi. n acest context, problemele legate de securitate sunt importante att pentru accesul la Internet ct i pentru intranet. De exemplu, tehnologia specific afacerilor electronice a dat firmelor posibilitatea de a pune informaii din ce n ce mai variate la dispoziia clienilor, ceea ce poate genera ns riscuri sporite legate de folosirea ruintenionat a acestor informaii. Este foarte important s ne asigurm c utilizatorii au acces la informaiile de care au nevoie, dar nu i la informaiile sensibile privind companiile, care trebuie s le rmn inaccesibile. O bun securitate a informaiei
Figura 1 Acces securizat prin parol
1 2
Se poate pune urmtoarea ntrebare: dac dorim s protejm ntr-adevr reeaua privat a companiei, de ce s permitem unei reele de domeniu public, precum Internet, s o acceseze? Rspunsul este foarte simplu: organizaiile att private ct i publice se bazeaz foarte mult pe Internet pentru a se face cunoscute i a acumula informaii. Avnd n vedere dezvoltarea exponenial pe care au cunoscut-o afacerile electronice de tip eBusiness, organizaiile care doresc s supravieuiasc trebuie s vin n ntmpinarea beneficiarilor prin oferte de produse i servicii. Pe lng vnzarea acestora, companiile trebuie s i protejeze clienii, prin asigurarea integritii produselor vndute, dar n acelai timp s se protejeze pe ele nsele de atacuri intenionate sau nu care ar putea veni din exterior. Mediul de afaceri i nu numai acesta impune o siguran n funcionare apropiat de 100%. Pericolele de afectare a infrastructurii sunt ns foarte mari, complexe i cu caracter distructiv, ceea ce impune organizaiilor adoptarea de msuri de PREVENIRE, DETECTARE i RSPUNS la atacuri sau incidente.
confidenialitatea: informaia nu trebuie s fie accesibil persoanelor neautorizate, adic numai expeditorul i destinatarul mesajului pot cunoate coninutul acestuia, care s fie inaccesibil unui interceptor; asigurarea confidenialitii se face prin criptare
integritatea: informaia trebuie protejat mpotriva coruperii sau modificrii neautorizate pe parcursul transmiterii mesajului
autentificarea: identitatea participanilor la tranzacii trebuie s fie cunoscut, adic destinatarul trebuie s fie sigur de identitatea expeditorului
nerepudierea: expeditorul i destinatarul s nu poat ulterior nega expedierea, respectiv primirea mesajului; nerepudierea se asigur prin semntur digital sau electronic
La care se adaug sigurana: mecanismele de securitate trebuie s fie robuste i corect implementate. Asigurarea confidenialitii este o problem important pe care o ridic securizarea bazelor de date i a tranzaciilor n reele. Identificarea i autentificarea sunt problemele din cele mai importante pe care la ridic validarea participanilor la o tranzacie. Corolarul unei autentificri puternice este dovada originii participanilor la tranzacii. Asigurarea autentificrii se face prin mecanisme bazate pe chei publice i pe semnturi digitale.
n cadrul ntregului sistem sau doar la nivelul obiectelor ce compun sistemul. Autentificarea se poate face cel mai simplu prin intermediul parolelor, dar i prin intermediul unor servicii intermediare de autentificare prin mecanisme oferite de teri care includ servicii bazate pe metode de autentificare dintre cele mai diverse: semnturi / certificate digitale, carduri, amprente digitale, etc. Sistemele de control al accesului conin proceduri de autentificare a utilizatorului n sistem numite i logare4 care verific identitatea lui. n acelai timp se dezvolt permanent de ctre cei care vor s penetreze ilegal reelele informatice tehnici de eludare a mecanismelor de acces i penetrare a sistemelor informatice, care exploateaz breele de securitate n special sub form de virui i atacuri asupra sistemului.
3 4 5 6 7
Privacy De la Log In sau Login User Name sau Nume de utilizator Password Persoane care acceseaz neautorizat o reea
De aceea, sistemele moderne de acces tind s foloseasc procedee biometrice cum sunt recunoaterea amprentei, a feei sau vocii persoanei respective sau utilizarea de smartcarduri care conin semntura electronic a persoanei care acceseaz sistemul. n sistemele interne de organizaie utilizatorii sunt adesea deranjai de necesitatea introducerii repetate a parolelor de acces i caut metode de simplificare a accesului care au ca rezultat sporirea vulnerabilitii sistemului.
Rolul parolei
Identificatorul nu este o informaie privat i adesea este cunoscut de ctre un numr mare de persoane. Parola este n schimb o parte vital a securitii unei reele. Aflarea parolei permite accesul la informaia confidenial a organizaiei, permite nu numai citirea dar i modificarea sau tergerea informaiei. Mai mult aflarea parolei permite accesul unor persoane neautorizate n reea. De aceea este o cerin standard ca orice cont s aib o parol bun i toate persoanele din organizaie s ia msuri pentru protejarea prin parole corespunztoare staiile de lucru i aplicaiile la care au acces.
Alegerea parolei
Accesul la reele i n special al Internet se face mpreun cu un numr extrem de mare de alte persoane printre care se afl i multe care ar dori s aib acces neautorizat la informaia protejat. Chiar i corespondena prin pot electronic este protejat ns numai prin acest mecanism simplu de identificator i parol. Toate aceste practici conduc la scderea considerabil a securitii datelor i creterea riscurilor de penetrare de ctre utilizatori neautorizai. Parolele trebuie s fie greu de ghicit i uor de reamintit de ctre utilizatorul autorizat. Multe aplicaii informatice posibilitatea folosirii unei ntrebri sau a unui cuvnt cheie pentru a-i aminti parola8. Parolele nu trebuie:
S fie prea scurte, timpul de spargere crete exponenial cu numrul de caractere n parol S conin numele utilizatorului n orice form S conin informaie uor de obinut despre utilizator (data naterii, codul numeric personal, adresa de domiciliu, numere de telefon, numele soului/soiei, numele copiilor, numrul de nregistrare sau marca autoturismului, etc.)
S foloseasc abrevieri des folosite i cuvinte des folosite cum ar fi 1234(56), 000000, admin, abcdef, nume de actori preferai, melodii, mrci de autoturisme, etc.
S nu foloseasc identificatorul de nume n niciun fel, nici inversat, nici cu litere mari sau mici, nici cu prefix sau sufix.
Ca de exemplu numele de familie al mamei sau alte informaii de natur personal mai greu de aflat de ctre alte persoane
S fie o combinaie de cifre, litere i semne de punctuaie admise ct mai greu de legat de persoana respectiv
S fie mai lungi de 6 sau 8 caractere, funcie de aplicaie S conin un amestec de litere mari i mici, cifre i semne de punctuaie Sa reprezinte ceva uor de reamintit numai de ctre persoana respectiv S fie diferite pentru diverse aplicaii S fie schimbate periodic (unele aplicaii solicit imperios acest lucru) S fie pstrate confidenial, de exemplu s nu fie tiprite n clar pe foi de hrtie aflate n apropierea terminalului
S nu poat fi ghicite de programe n intervale rezonabile de timp S nu conin un algoritm care odat ghicit compromite toate parolele ca de exemplu substituia de litere conform codului lui Cezar descris mai jos
Parolele se uit frecvent. De aceea multe persoane aleg calea simpl a folosirii parolei standard oferite de sistem sau a numelui de identificare. n alte cazuri se folosesc parole simple cum ar fi numele sau prenumele utilizatorului, data naterii, numele firmei, etc. sau parole prea scurte. Exemple de modaliti de alegere a parolei :
Se poate alege un vers sau dou dintr-o poezie cunoscut de persoana respectiv, dar scris cu litere mari mici i adugnd erori de ortografie cunoscute numai de autorul parolei
Alegei o ntmplare din trecutul ndeprtat si extragei o parola creat pe baza regulilor de mai sus
Alegei succesiuni de consoane i vocale uor de pronunat, dar fr sens pentru alii Folosii mai multe cuvinte scurte cu intercalare de cifre sau semne de punctuaie
Observarea de ctre o persoan aflat lng utilizator a parolei introduse ncredinarea pe termen limitat a parolei unei alte persoane care poate afla astfel modul general de stabilire al parolelor de ctre titular
Introducerea accidental a parolei n locul sau n continuarea identificatorului, caz n care rmne n log-urile sistemului
Deducerea parolei printr-un program care ncearc permutri i combinaii de caractere, procedur eficient la parole scurte9
Interceptarea parolei prin software specializat sa rein clapele tastate (n special la folosirea altor staii de lucru, de exemplu n Internet-Cafe)
Echipamente keylogger
Echipamente de interceptare sunt instalate ntre tastatur i calculator fr a fi vizibile sau simplu de detectat. Un caz particular sunt dispozitivele ataate la bancomate, care par a face parte din echipamentul de baz i prin care infractorii intercepteaz PIN-ul cardurilor bancare..
Keyloggere acustice
Exist echipamente complexe care pot determina prin sunetele emise pe cele caracteristice anumitor clape. Metoda este mai puin folosit, necesitnd studii statistice i analiz de frecven.
Emisii electromagnetice
Emisiile electromagnetice ale unei tastaturi pot fi detectate prin radio pn la 15-20 m.
Supraveghere optic
Camerele de luat vederi discret plasate pot captura parolele i alte informaii. Metoda este folosit de infractori pentru interceptarea PIN-urilor cardurilor bancare la bancomate i uneori la POS-uri plasate n medii nesigure.
10 11 12
Traducere liber: nregistratoare de clape Dispozitiv care este folosit in asigurarea securitii accesului la reele In cazul token-urilor firmei VASCO
Accesul prin token este categorisit ca autentificare puternic13. Utilizatorul acceseaz token-ul avnd de introdus un PIN. Apoi in funcie de soluia sistemului fie citete o parol numeric de pe token i o introduce n calculator (cazul Numai rspuns), fie primete o parola de la calculator, o introduce n token, primete o alt parol pe care o introduce n calculator. n ambele cazuri parola de acces la sistem se folosete o singur dat i expir dac nu este folosit o perioad scurt de timp. Parola de unica utilizare se mai numete OTP14. Pentru sisteme mai complexe se folosesc i dispozitive mai sofisticate care au posibilitatea de a fi blocate/deblocate cu smartcarduri.
Tastaturi web
Tastaturile web bazate pe scripturi ofer o protecie mai bun contra interceptrii. Sunt folosite din ce n ce mai mult de ctre bnci.
Anti-keylogging software
Exist i aplicaii anti-keylogging care se bazeaz pe analiza semnturii unor keyloggere cunoscute. Ca i n cazul aplicaiilor anti-virus, protecia este asigurat numai la keyloggerele cunoscute.
Recuperarea parolelor
O serie de aplicaii disponibile comercial recupereaz parolele uitate15. Operaia se mai numete i spargere16 de parole, deoarece nimeni nu garanteaz c persoana care recupereaz parola este cea ndreptit s o fac. Astfel de produse permit recuperarea/spargerea parolelor pentru marea majoritate a aplicaiilor existente pe un calculator personal. Soluia este folosirea de parole cat mai lungi si cu folosirea de litere, cifre si semne speciale. Fiierele de tip Office indiferent de productorul suitei Office sunt cele mai vulnerabile la acest gen
Figura 3 Tastatura afiat pe ecran
lei fiind disponibile pe Internet la preuri modeste sau chiar n variante mai puin puternice gratuit.
13 14 15 16
Strong authentication One Time Password Exemple la http://www.lostpassword.com/ sau http://www.crackpassword.com/ Crack
Schimbarea parolelor
Parolele trebuie schimbate frecvent. Chiar dac parola este bun, ea poate fi descoperit ntmpltor sau intenionat n situaiile prezentate mai sus ca pericole. Parolele trebuie schimbate ori de cte ori exist suspiciunea unui pericol, la ntoarcerea din cltorii i periodic, de exemplu la fiecare nceput de an.
PENETRAREA REELELOR
Principalele consecine ale accesului persoanelor neautorizate sunt infectarea reelei i a calculatoarelor acesteia cu malware i atacuri de tip oprirea serviciilor17.
Malware
Un termen nou folosit pentru acele programe care se infiltreaz sau deterioreaz un sistem este de malware18. Prin malware se neleg nu numai diverii virui de tip Troian, backdoor sau de root, dar i malware creat pentru ctig financiar spyware, botnets, loggers i dialers. Pe msur ce se perfecioneaz tehnicile anti-malware apar noi i noi forme de programe de acest tip. Instalarea de software anti-malware este recomandat, dar nu garanteaz protecie absolut. Din ce n ce mai mult este necesar educarea utilizatorilor de e-mail i celor ce navigheaz pe web, principalele ci de transmisie a malware, pentru a recunoate i nu deschide mesaje sau situri purttoare de virus.
Virui informatici
Viruii sunt programe care se infiltreaz n calculatoarele int cu efecte nedorite. Printre efecte se pot enumera autoreplicarea, infectarea altor programe, modificarea mediului de lucru. Nu este obiectivul acestui capitol s detalieze subiectul, dar s reinem c ei se transmit prin canalele de acces n sisteme, se deghizeaz n programe proprii sistemului i au aciune imediat sau ntrziat.
Adware
Ca adware19 numim programele care afieaz cadre care apar peste imaginea de baz (pop-up) i conin o reclam la un produs sau serviciu. Ele deranjeaz de obicei utilizatorul i majoritatea navigatoarelor Internet permite anularea apariiei lor.
17 18 19
Denial of service Provenind din malicious software (software care produce daune) Provenind din advertising software (software pentru reclame)
Backdoor
Ca backdoor numim programele care se infiltreaz n calculatoare i acceseaz resursele acestora sau a reelelor din care fac parte. Uneori sunt generate backdoor-uri n scopuri utile pentru a permite utilizarea unor aplicaii.
Rootkit
Un rootkit21 este un set de instrumente care sunt folosite de un atacator pentru a obine privilegii de administrator i a obine informaii despre sistem sau a-l modifica. Diverse studii arat c scopul principal al atacurilor cu virui este ctigul financiar prin culegerea de date i posibil aciuni de antaj ulterioare. Numai n prima jumtate a anului 2006 au aprut 43 mii noi virui de tip troian22. O surs major de virui au devenit comunicaiile wireless de tip Wi-Fi.
Perturbarea serviciului
Atacatorii inund serverul cu mesaje false folosind adrese IP false pentru a bloca reeaua i mpiedica mesajele utile s ptrund n sistem. Fenomenul este greu de stpnit deoarece mesajele sunt transmise din calculatoare care nu aparin atacatorilor prin metode de folosire a acestora ca releu fr cunotina proprietarilor de drept..
20 21 22
10
Hackeri i crackeri
Termenul cel mai cunoscut pentru persoanele care penetreaz sau atac sistemele informatice este acela de hacker23, dei la nceput hacker era numele sub care era cunoscut un programator amator. Hackerii susin c sensul peiorativ nu-i avantajeaz i consider c personajul negativ trebuie s fie numit cracker24.
Colectarea informaiei despre inta atacului; de exemplu nume de domeniu, adrese IP, adrese fizice, informaii financiare, etc.
Identificarea serviciilor publice oferite de int; servere web, FTP, e-mail, etc. De obicei se scaneaz porturile pentru a vedea care sunt deschise
Studierea vulnerabilitilor intei i se constat care sunt configuraiile defectuoase, cele tip, etc. Exploatarea vulnerabilitilor n ncercarea de a ajunge n interiorul intei Utilizarea accesului obinut, hackerul devenind utilizator cu drepturi depline i aparent autorizat
Furtul de identitate
Identitatea nu poate fi furat, ea poate fi ns fals asumat, dar termenul de furt este des folosit pentru situaiile n care o persoan sau organizaie pretinde a fi altcineva dect este n realitate cu scopul de a obine acces la anumite resurse n numele acelei persoane. Aa cum n lumea fizic aceast asumare fals de identitate este cel mai des infraciune i n lumea virtual consecinele sunt aceleai, legile fiind adaptate s pedepseasc i falsa identitate digital. Furtul de identitate poate avea scopuri comerciale sau financiar-bancare, judiciare, medicale, etc. Printre cazurile aparent banale, dar extrem de rspndite, se numr folosirea adresei de email a altei persoane prin furtul parolei de acces si crearea unei pagini pe Facebook sau a unui blog pe numele altei persoane dect cea real. Muli consider tentativa de a accesa emailul unor rude sau cunoscui ca un fapt benign. n realitate este nclcare a legii. n anii 2010-2011 mass-media din Romnia a relatat nceperea urmririi penale pentru o persoan care a accesat ilegal emailul soiei disprute de la domiciliu.
23 24 25 26
Probabil c traducerea cea mai apropiat n limba romn este aceea de cioplitor. Sprgtor Poate fi o persoan sau o organizaie cu scopuri adverse Eric Butler, Seattle, Washington, SUA
11
spionat. Interceptarea se produce i n reelele Wi-Fi protejate cu parol, deoarece interceptorul pentru a avea acces a primit sau cumprat i el parola. Larga rspndire a Facebook i Twitter face ca acest gen de furt lateral s devin foarte rspndit i periculos. Se recomand folosirea cu grij a reelelor Wi-Fi, mai ales cele publice, din hoteluri, aeroporturi, restaurante, etc. Pe ct posibil accesul 3G sau 4G este de preferat accesului Wi-Fi.
cu numrul de actualizri).
Sisteme firewall
Asigurarea confidenialitii i integritii datelor este una dintre destinaiile unui sistem firewall. Un firewall are dou roluri fundamentale:
control al accesului: Este posibil ca unele servere s fie vizibile din reele publice, n timp ce altele nu. Alocarea drepturilor de acces depinde de necesiti, dar i de riscurile pe care doreti s i le asumi. Un exemplu de server care trebuie s fie accesibil din exterior este serverul de pota electronic. Ca regul general, se recomand ca niciodat s nu se ofere unor servere sau servicii drepturi de acces mai mari dect au nevoie, pentru a nu oferi hackerilor puncte suplimentare de intrare n sistem.
27
12
asigurarea caracterului privat al reelelor companiilor: se refer tocmai la asigurarea confidenialitii datelor existente n cadrul intranet-ului unei companii.
Un firewall blocheaz informaiile care nu sunt solicitate prin caracteristicile i setarea reelei i ascunde structura reelei transmind mesajele acesteia ca fiind originare din firewall. De asemenea. n multe cazuri un firewall verific mesajele de intrare pentru a le accepta numai pe cele din surse autorizate i scaneaz intrrile pentru eliminarea hackerilor cunoscui. Complexitatea unui firewall poate merge de la o simpl filtrare de pachete pn la controlarea accesului la aplicaii sau servere proxy28. Un firewall de aplicaii se numete adesea gateway29. Un firewall poate fi instalat ca un sistem software, dar i ca un echipament cu software specializat. Un firewall sofisticat asigur o securitate mare, dar cost mai mult. Este necesar o balanare a avantajelor fa de costurile implicate.
recunoaterea principalelor tehnici folosite de hacker, semnturile lor, ncercrile de exploatare a unor vulnerabiliti hardware sau software, etc. sau pe
detectarea de anomalii prin monitorizarea funcionrii normale i semnalarea ulterioar a baterilor de la comportamentul normal.
Ambele metode au avantajele i dezavantajele lor. Recunoaterea tehnicilor de intruziune nu este eficient la noi tehnici ce pot apare, iar monitorizarea activitii normale poate nsemna i includerea unui atac nedetectat n situaia considerat normal.
Adoptai o atitudine proactiv: prevenirea este mai ieftin dect depanarea Securitatea trebuie asigurat 24 ore din 24, 7 zile din 7 Alegei parole sigure i schimbai-le frecvent Fii prudeni; nu presupunei c mediul n care lucrai este sigur Majoritatea atacurilor provin din interiorul organizaiei! Schimbai periodic procedurile de acces la date i n mod obligatoriu la plecarea unor persoane cheie cu acces la baze de date cu coninut sensibil
28 29 30
Un server proxy intercepteaz toate mesajele care intr i ies din reea i ascunde adresele reale ale calculatoarelor din reea Poart de intrare Intrusion Detection Systems
13
Instruii-v i instruii personalul cu tehnicile de securitate necesare Creai (automat sau manual) copii de rezerv a bazelor de date importante Pentru siguran mai mare atunci cnd este necesar, folosii tehnici de criptare! Indiferent de puterea algoritmului de criptare folosit este necesar s fie folosite i alte msuri de protecie a informaiei, implicnd metode de vigilen i supraveghere
14
Criptanaliza
Criptanaliza este tehnica analizei i descifrrii comunicrii criptate. Stpnit de un numr limitat de specialiti, criptanaliza este folosit cu precdere de instituii guvernamentale pentru asigurarea proteciei naionale i internaionale. Criptanaliza este folosit pentru descifrarea mesajelor criptografiei puternice, cele slabe fiind prea simple pentru specialitii domeniului. n lupta ntre criptografi i criptanaliti nu exist dect nvingtori temporari, progresele tehnologiei informaiei putnd face o metod de criptare impenetrabil azi, descifrabil n viitor. Nu trebuie confundat criptanaliza care necesit i importante resurse de tehnic specializat cu fenomenul activitii hackerilor despre care se va discuta n alt parte.
31 32
Cnd criptarea avea ca mediu principal de transmitere a mesajelor forma scris denumirea preferat era aceea de criptografie Principiul lui Kerkoffs
33 34 35 36
National Security Agency, agenie guvernamental secret din SUA Data Encryption Standard Expresie folosit n jargon profesional pentru operaia de deducere a cheii Advanced Encryption Standard
16
ce toate combinaiile posibile de chei pentru a citi sau altera mesajul. Schimbul de chei este o procedur care creeaz mari dificulti i permite apariia a numeroase elemente de vulnerabilitate. Schimbul sigur de chei secrete este inoperabil n reele mari, fiind imposibil de pstrat secretul cheii atunci cnd numrul participanilor este ct de ct mare i nu poate fi conceput fr ca persoanele participante la schimbul de mesaje s se fi ntlnit n prealabil. Criptarea convenional nu permite, de asemenea, autentificarea participanilor la tranzacii. O cheie furat permite simplu substituirea expeditorului.
una public. Este imposibil de dedus prin calcul cheia secret din cea public. Cu cheia public a unei persoane oricine poate cripta un mesaj, dar numai persoana respectiv folosind cheia sa secret l poate descifra. Pe aceste baze teoretice au fost elaborate mai multe sisteme criptografice cu chei publice printre care RSA, Elgamal i DSA.
RSA
RSA37 a fost inventat n 1977 de ctre un grup de profesori de la MIT ca un sistem criptografic cu chei publice de tip PK38. n locul folosirii unei chei unice pentru criptare i decriptare, RSA folosete o pereche de chei una public i una privat(secret) folosite n procesul schimbului informaiei secrete. Cheile se calculeaz dup algoritmul prezentat mai sus. Fiecare cheie produce o transformare univoc a informaiei. Cheile din pereche au roluri complementare, efectul produs de una din ele este anihilat numai de cealalt. Metoda const n folosirea unei funcii unidirecionale, care este uor de calculat, dar extrem de greu de inversat. Funcia Diffie-Hellman este bazat pe exponeniere modular; fiind dat un numr prim p i numerele a i x mai mici dect p, se calculeaz y = ax mod (p) care se folosete
37 38
Dup numele autorilor Ronald Rivest, Adi Shamir i Leonard Adleman Numit PK de la Public Key
17
drept cheie. Se poate demonstra matematic c dac determinarea lui y se face extrem de uor, operaia invers de determinare a lui x cunoscnd a, p i y dureaz de un timp calculat la puterea p. Astfel dac p este un numr prim cu 1000 cifre, raportul timpilor este 21000. Numerele a i p sunt standardizate i publice. Cheia public RSA este fcut disponibil public de posesor, n timp ce cheia lui privat este inut secret. Pentru a trimite un mesaj secretizat, expeditorul cripteaz mesajul cu cheia public a destinatarului. Un astfel de mesaj poate fi descifrat numai cu cheia privat (secret) a destinatarului.
Cheia secret rmne cu adevrat secret i nu este furat din calculatorul unde este instalat; furtul este prevenit prin criptarea puternic la rndul ei a cheii secrete
39
18
printr-un algoritm de amestec (hash40) similar celui descris i propus tot de Diffie i Hellman. Rezult astfel un amestec al mesajului, care criptat cu cheia privat a expeditorului devine semntura sa electronic sau digital. Semntura digital poate fi decriptat numai cu cheia public a aceluiai expeditor. Destinatarul prelucreaz semntura digital primit i recalculeaz amestecul (hash) mesajului. Valoarea acestei amprente este comparat cu amprenta aflat din semntur. Dac valorile coincid mesajul este original. Deoarece verificarea semnturii s-a fcut cu cheia public a expeditorului i textul a fost semnat cu cheia lui privat cunoscut numai de el, n acest fel se asigur o autentificare performant. Este imposibil ca altcineva s fi generat semntura deoarece ea se bazeaz pe cheia secret a expeditorului. Folosirea cheii secrete a expeditorului asigur i funcia de nerepudiere, expeditorul neputnd nega paternitatea mesajului.
Certificatul digital
Utilizatorii de tehnologii RSA de regul anexeaz cheia lor public la un mesaj trimis. n acest fel destinatarul nu este obligat s se adreseze unui depozitar de chei publice. Este ns probabil ca o cheie public, chiar la un depozitar, s nu aparin n fapt persoanei care este declarat ca posesor, deci poate apare un fals posesor de cheie care intercepteaz mesajele secrete. Evitarea acestei situaii se face cu un identificator digital sau certificat care se nsereaz n cheia public a utilizatorului i garanteaz c expeditorul este persoana care pretinde c este. Certificatul digital se emite de ctre o persoan sau organizaie de ncredere, cel mai des o Autoritate de Certificare. Autoritatea trimite utilizatorului sistemului un certificat digital criptat suplimentar cu cheia autoritii respective. Cnd utilizatorul transmite un mesaj ataeaz acest certificat digital. Destinatarul verific cu acest certificat cheia public a expeditorului i apoi folosete cheia public pentru decriptare. Cu folosirea de certificate digitale lanul de autentificare se simplific, nefiind nevoie de publicat dect cheia public a Autoritii de Certificare. Utilizatorii transmit mesaje cu certificatul digital propriu i cheia public a destinatarului.
40 41
19
Protejarea mesajului prin criptare mpotriva intruderilor Integritatea mesajului prin coduri de autentificare pentru limitarea efectelor interceptrilor Autentificarea reciproc a mesajelor mpotriva impostorilor
Autoriti de certificare
Emiterea de certificate digitale se bazeaz pe ncredere. Autoritile de certificare sunt organizaii n care persoanele care schimb mesaje au ncredere, fiind numite uneori i Autoriti de ncredere TA42. Acestea emit certificatele unor persoane verificabile ca identitate. Verificarea identitii se face prin mai multe metode. Astfel de organizaii recunoscute care emite certificate digitale sunt n SUA VeriSign, Entrust, Cybertrust, RSA. Prin clicarea icoanei din figura 42 postat pe un site se poate afla de exemplu validitatea certificrii de ctre VeriSign cu informaii privind certificatul i validitatea lui. Un certificat expirat nu nseamn neaprat c
Figura 8 Eticheta VeriSign
posesorul certificatului nu mai este de ncredere43, dar riscul unui schimb de mesaje cu acesta este ridicat.. Transmiterea de date confideniale unor situri necunoscute se va face numai dac sunt certificate de o autoritate de certificare reputat. Autoritile de certificare sunt la rndul lor certificate de o autoritate public sau de una n care participanii au ncredere. Emiterea de certificate digitale i serviciile de infrastructur PKI au devenit una din afacerile de anvergur ale Economiei Digitale. Principalul domeniu este comerul electronic n care participanii trimit informaii confideniale prin Internet cum sunt datele card-urilor personale sau informaii privind afacerile derulate. n Romnia mai multe firme pot emite certificate, pentru emiterea de certificate recunoscute n relaia cu instituii publice fiind necesar autorizarea acestora. Alte autoriti de certificare pot fi garantate de autoriti publice sau private ca de exemplu bnci.
42 43
Trust Authorities Uneori firmele sau persoanele posesoare de certificat uit s-l rennoiasc
20
PGP
PGP44 este un software de criptare care permite schimbul de mesaje sau documente criptate cu chei de lungime 1024/2048 bii. Produsul este disponibil fr plat45 pentru aplicaii necomerciale i neguvernamentale. Sistemul genereaz perechea clasic de chei privat i public i o parol necesar numai accesului la mesaje criptate pe calculatorul propriu. Cheile publice se schimb ntre utilizatori. Un mesaj e-mail sau un fiier destinat unei anumite persoane se cripteaz cu cheia public a acelei persoane i numai acea persoan poate decripta mesajul. Dac se folosesc mai multe chei publice se poate lrgi aria de distribuie a mesajelor criptate. Exist i opiunea de semnare a mesajului/fiierului pentru autentificare. Cu PGP se poate securiza informaii de pe discurile calculatorului criptndu-le cu cheia proprie i devenind invulnerabile la produsele de recuperare/decodare a parolelor pentru produse cum sunt cel din MS Office. PGP este un produs dezvoltat iniial de Phil Zimermann i a fcut obiectul unor prime controverse privind exportul neautorizat ale unui produs considerat strategic. Variantele care se pot utiliza n SUA i in afara SUA sunt diferite.
44 45 46
acronim provenind din 'Pretty Good Privacy' prin descrcare de pe situl www.pgpi.org HOTRRE nr. 7 din 8 ianuarie 2004 privind protecia juridic a serviciilor bazate pe acces condiionat sau constnd n accesul
condiionat, HOTRRE nr. 1173 din 2 octombrie 2003 privind atribuirea electronic i distribuirea autorizaiilor de transport rutier internaional de marf, HOTRRE nr. 1085 din data de 11.09.2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri referitoare la implementarea Sistemului Electronic Naional, Ordonana nr. 73 din 28/08/2003 pentru modificarea i completarea Ordonanei Guvernului nr. 20/2002 privind achiziiile publice prin licitaii electronice, LEGE nr. 304 din 4 iulie 2003 pentru serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile de comunicaii electronice, LEGE nr. 250 din 10 iunie 2003 pentru aprobarea Ordonanei de urgen a Guvernului nr. 193/2002 privind introducerea sistemelor moderne de plat, LEGE nr.
21
O dezbatere aprins a avut loc n SUA atunci cnd ageniile de securitate au solicitat depunerea n depozite protejate a unor chei de decriptare pentru uzul acestora n caz de necesitate. La protestele comunitii de afaceri o astfel de legislaie nu a fost n final adoptat.
tehnologii prin Agenia Naional de Control al Exporturilor Strategice i al Interzicerii Armelor Chimice - ANCESIAC.
mite zone ale organizaiei. Parolele clasice si vulnerabile folosite in mod tradiional sunt in acest caz nlocuite
202 din 16 mai 2003 pentru aprobarea Ordonanei Guvernului nr. 19/2003 privind obligativitatea utilizrii sistemului electronic de colectare a datelor statistice, LEGE nr. 161 din 19 aprilie 2003, privind msurile mpotriva corupiei, Ordonana de urgenta nr. 193 din 12 decembrie 2002 privind introducerea sistemelor moderne de plat, LEGE nr. 591 din 29 octombrie 2002 pentru aprobarea Ordonanei de urgen a Guvernului nr. 79/2002 privind cadrul general de reglementare a comunicaiilor, LEGE nr. 544 din 12 octombrie 2001 privind liberul acces la informaiile de interes public, LEGE nr. 365/2002 privind comerul electronic, LEGE nr. 291/2002 pentru aprobarea Ordonanei Guvernului nr. 24/2002 privind ncasarea prin mijloace electronice a impozitelor i taxelor locale, publicat n M.O. nr. 346 din data de 24 mai 2002, ORDONANA nr. 24 /2002 privind ncasarea prin mijloace electronice a impozitelor i taxelor locale, publicat n Monitorul Oficial nr. 81, din 1 februarie 2002, ORDONANA nr. 20/2002 privind achiziiile publice prin licitaii electronice,
publicat n Monitorul Oficial nr. 86 din 1 februarie 2002, HOTRRE DE GUVERN nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semntura electronic, LEGE nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, LEGE nr. 676 /2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor, publicat n Monitorul Oficial nr. 800 din 14 decembrie 2001
47
Smart-card
22
de codul PIN si certificatul digital aflate pe smartcard. Vulnerabilitatea prin spargere sau furt al parolelor este practic eliminata si se asigura la un alt nivel protecia resurselor interne al organizaiilor.
Microcip incorporat pentru accesul securizat la reea pe baza de certificate digitale (PKI) Generator OTP pentru accesul la aplicaii pe baza OTP Spaiu de stocare si criptare a datelor de 2 sau 4 GB
pentru accesul la calculatorul propriu si reea. In afara organizaiei cardul este folosit pentru accesul la distanta la reeaua
organizaiei prin VPN. In cazul accesului prin Internet este necesara realizarea unui tunel virtual securizat VPN si apoi accesarea prin una din cele 2 metode . La folosirea de smartcarduri nu se transmite identificatorul si parola eliminndu-se astfel interceptarea lor, chiar i de ctre keyloggere. In cazul tokenurilor se poate ca parola sa fie interceptat, dar ea nu poate fi folosit fiind de unica utilizare. 23
Alte aspecte privind accesul la distan prin Internet sunt discutate in alt capitol. Viitorul smartcardurilor se pare ca ne va rezerva surprize plcute, noua tehnologie48 va elimina nevoia de a folosi VPN i oricare persoana aflat acas sau oriunde in lume se va putea loga direct la intranetul companiei doar cu smartcard-ul. Practic, o simpla logare securizata pe laptop cu smartcardul si o conexiune internet vor permite accesarea intranetului companiilor in mod direct si securizat de oriunde din lume.
Etapa 1 prevede examinarea existenei documentaiei principale de securitate a reelelor printre care politicile de securitate, proceduri de aplicare i planul de tratate a riscurilor
Etapa 3 care re-evalueaz periodic ulterior auditul i implementarea msurilor stabilite cu ocazia etapelor anterioare
48
Microsoft DirectAccess
24
datelor nu exist ! Este necesar contientizarea pericolului i diminuarea riscului de oprire a funcionrii sistemelor informatice. Despre meninerea confidenialitii informaiei, asigurarea integritii i siguranei n exploatarea datelor, a disponibilitii acestora s-a discutat deja. Dar apar frecvent dezastre naturale. Se pune normal ntrebarea dac rezist sistemele, unde sunt fiierele vitale, dac exist soluii de rezerv (back-up) ? Sunt supuse la riscuri i echipamentele i datele i aplicaiile.
consum de resurse pentru corectarea situaiei. Riscurile date de malware sunt mari i au fost menionate n alt capitol. Aciunile distructive ntmpltoare au la baz instruirea necorespunztoare, nerespectarea procedurilor i erorile umane. Ele pot fi prevenite prin metode i proceduri de control, crearea de programe robuste i controlul introducerii datelor, realizarea unui grad de rezisten la aciuni nepotrivite, meniuri care determina introdu49
25
cerea de date corecte, punerea unor limite de valori la programare, tranzacii atomizate, nregistrarea datelor n mai multe destinaii, etc. Operaia este complet cnd toate destinaiile sunt validate. Se implementeaz astfel un control tehnic de consisten, se poate face auditarea de conformitate, se poate stabili un set de proceduri pentru descoperirea neconcordanelor i se pot descoperi activitile ilegale sau neconforme cu regulile stabilite. O metod pentru prevenirea abuzurilor i fraudelor este separarea responsabilitilor ntre proiectantul de sistem i utilizatorul sistemului. Proiectantul este responsabili pentru crearea unui sistem de meniuri care permite autorizarea unor meniuri utilizator i module de program pentru ca utilizatorul sa creeze identificatori i parole. Responsabilitile utilizatorului sunt definirea de coduri de acces, parole i proceduri de acces.
Figura 14 Costul msurilor de securitate
Adoptarea de planuri de recuperare a daunelor micoreaz daunele care pot apare ca rezultat al riscurilor amintite. Ele sunt extrem de eficace atunci cnd din motive diverse au loc cderi sau atacuri asupra sistemelor. Din pcate, asemenea planuri se ntocmesc foarte rar.
Centre de date
Dependena de sisteme informatice critice a condus la necesitatea unor centre dotate corespunztor n care datele s fie asigurate contra pericolelor de alterare, distrugere, furt, etc. Ele pot deservi o organizaie sau mai multe. Centrele de date sunt dotate cu servere si memorii externe de mare capacitate, linii de comunicaii de date de mare capacitate si sigure. In plus ele sunt dotate cu sisteme de rcire si condiionare a aerului, conexiune separata la reeaua de curent electric, si sisteme de backup a alimentarii cu energie electrica. Serverele si echipamentele de comunicaie sunt alimentate prin UPS-uri, iar backup-ul general este asigurat de generatoare de 26
curent cu autonomie mare de funcionare (sute de ore). Accesul in incinta centrelor de date este securizat si monitorizat in permanen.
27
INDEX
Era digital 25
A F
Acces neautorizat 5, 11, 12, 13 Adleman, Leonard 17 Adware 9 Autoriti de certificare 20 Firesheep 11 Firewall 12, 13 Fiiere 19, 21 FTP 11
B
Backdoor 10 Baze de date 13
Furtul de identitate 11
H
Hackeri 11
C
Centre de date 26 Certificatul digital 19, 23 Chei de criptare 16, 17 Coduri 20, 26 Comunicaii mobile 3G 12 4G 12 Criptare 15, 16, 17, 21 Aspecte juridice 21 cu chei publice 17 cu chei simetrice 16 Cunotine 9 Cyberware 10
I
IBM 16 Informaie 4, 5, 10, 21, 25 Internet 2, 3, 4, 5, 6, 7, 8, 9, 15, 20, 23, 24 Intranet 2, 13 ISO 27001 24
K
Keyloggere 7, 8, 23
D L
Date 3, 4, 10, 12, 13, 14, 20, 25, 26, 27 DES 16 Diffie, B. Whitfield 19 Laptop 24
M E
Malware 9, 12, 25 eBusiness 2, 3
28
Microsoft 10, 24
POS 7 Sisteme
N
NSA 16 Nume de identificare 4
de detectare a intruziunilor 13 Sisteme informatice dependena 26 Smartcard 23, 24 Software 6, 8, 9, 12, 13, 21 Spyware 10
P
Parole 4, 5, 6, 7, 8, 9, 10, 13, 21, 22, 23, 26 de unic utilizare 7 recuperare 8 Penetrarea reelelor 9 Perturbarea serviciului 10 PGP 21 PKI 18, 20, 23 Proxy 13
T
Tastaturi web 8 Tehnici de atac 11 Token 23 Troian 10 Twitter 12
R U
Riscuri pentru date 25 pentru echipamente 25 Rivest, Ronald 17 Romnia 11, 20, 21, 22 Rootkit 10 RSA 17, 18, 19, 20 Virui informatici 4, 9, 10, 24 VPN 23, 24 UPS 25, 26
S
Securitate a informaiei 2 a reelelor informatice 1 Securizarea accesului 4 Semntura electronic 18 Shamir, Adi 17 SIM
W
Web 8, 9, 11 Wi-Fi 10, 11
Z
Zimermann, Phil 21
29