SECURITATEA REELELOR INFORMATICE

Perturbarea serviciului .............................. 10

CONTINUT
Securitatea reelelor informatice .............1 Cerine pentru securizarea informaiei ..3 Domenii ale securizrii ..................................4 Securizarea accesului la informaie ..........4 Asigurarea accesului persoanelor autorizate Nume de identificare i parole....................4 Rolul parolei ........................................................5 Alegerea parolei ................................................5 Pericole legate de folosirea parolelor ......6 Interceptarea parolelor keyloggere ......7 Echipamente keylogger .................................7 Interceptarea tastaturilor wireless..........7 Keyloggere acustice .........................................7 Emisii electromagnetice ................................7 Supraveghere optic .......................................7 Metode de prevenire a interceptrii parolelor 7 Parole dinamice (de unic utilizare) .......7 Tastaturi afiate pe ecran ............................8 Tastaturi web .....................................................8 Anti-keylogging software..............................8 Recuperarea parolelor ...................................8 Schimbarea parolelor .....................................9 Prevenirea accesului persoanelor neautorizate 9 Penetrarea reelelor ......................................9 Malware ...............................................................9 Virui informatici..............................................9 Adware...................................................................9 Backdoor............................................................ 10 Troian cu administrare la distan ....... 10 Rootkit ................................................................ 10 Programe de spionare - Spyware ........... 10 1 4

Atacuri mpotriva sistemelor informatice Hackeri i crackeri ........................................ 11 Tehnici de atac i acces neautorizat ...... 11 Furtul de identitate ...................................... 11

10

Furtul de identitate n reele Wi-Fi (Firesheep) 11 Tehnici de protecie mpotriva acceselor

neautorizate ..................................................... 12 Managementul actualizrilor de securitate 12 Sisteme firewall .............................................12 Sisteme de detectare a intruziunilor ....13 Prevenirea acceselor neautorizate ........ 13 Criptare, semnturi i certificate digitale15 Criptare i criptanaliz ............................... 15 Criptarea ............................................................15 Criptanaliza ......................................................15 Algoritmi i chei de criptare ..................... 16 DES standard de criptare a datelor ...16 Criptarea convenional cu chei simetrice Criptarea cu chei publice ........................... 17 RSA........................................................................17 Comunicarea prin criptare cu chei publice 18 Infrastructur de chei publice PKI ......... 18 Semntura electronic (digital)...........18 Certificatul digital .........................................19 Standarde de securitate pentru schimbul de informaii ..........................................................19 Autoriti de certificare .............................. 20 Certificate proprii sau serviciile autoritilor de certificare? ........................................................20 PGP ...................................................................... 21 Aspecte juridice ale folosirii criptrii ... 21 16

Legislaie general privind accesul la informaie din reele informatice .......................................... 21 Controlul exportului de sisteme de criptare 22 Accesul securizat n reelele informatice22 Accesul in reelele informatice ................ 23 Accesul fizic in cldiri sau ncperi ........ 23 Accesul la distan in reelele informatice 23

Securitatea fizic a datelor........................ 24 Riscuri pentru echipamente ..................... 25 Riscuri pentru date i aplicaii ................ 25 Planuri de recuperarea a daunelor........ 26 Costul msurilor de securitate ................ 26 Centre de date ................................................ 26 Index ................................................................ 28

Asigurarea securitii reelelor informatice 24 Standardul ISO 27001 ................................. 24

Tehnologiile informaiei i comunicaiilor produc ample schimbri n organizaii. Reelele de calculatoare folosesc tehnologiile Internet, larg diseminate i cunoscute i uor de asimilat. ntreaga activitate a organizaiei se construiete n jurul intranet i este dependent de acesta. O nou economie s-a nscut i transform economia existent. Schimbarea afecteaz toate domeniile i toate ntreprinderile. Fenomenul Internet joac un rol central n aceast transformare, punnd la dispoziie pe scar larg resursele informaionale. Dac electricitii i-a trebuit un secol pentru a ptrunde n ntreaga lume, reelele Internet sunt astzi folosite de peste 2 miliarde de oameni1 i aplicaiile lor economice, n special platformele de afaceri electronice2, se rspndesc rapid cursa nefiind nc ncheiat. A fost construit o nou infrastructur tehnic. Industriile legate de tehnologiile informaiei i comunicaiilor creeaz locuri de munc ntr-un ritm mai rapid dect celelalte industrii. Tehnologiile informaiei i comunicaiilor reprezint azi principalul instrument pentru folosirea eficient pe scar larg a informaiei n organizaii i societate. Ele produc schimbri n organizaie i n viaa de zi cu zi. n acest context, problemele legate de securitate sunt importante att pentru accesul la Internet ct i pentru intranet. De exemplu, tehnologia specific afacerilor electronice a dat firmelor posibilitatea de a pune informaii din ce n ce mai variate la dispoziia clienilor, ceea ce poate genera ns riscuri sporite legate de folosirea ruintenionat a acestor informaii. Este foarte important s ne asigurm c utilizatorii au acces la informaiile de care au nevoie, dar nu i la informaiile sensibile privind companiile, care trebuie s le rmn inaccesibile. O bun securitate a informaiei
Figura 1 Acces securizat prin parol

Protejeaz informaia i prestigiul organizaiei Stimuleaz afacerile

1 2

Cifr valabil la 31 decembrie 2010 conform http://www.internetworldstats.com/stats.htm eBusiness

ntrete ncrederea clienilor n organizaia respectiv

Se poate pune urmtoarea ntrebare: dac dorim s protejm ntr-adevr reeaua privat a companiei, de ce s permitem unei reele de domeniu public, precum Internet, s o acceseze? Rspunsul este foarte simplu: organizaiile att private ct i publice se bazeaz foarte mult pe Internet pentru a se face cunoscute i a acumula informaii. Avnd n vedere dezvoltarea exponenial pe care au cunoscut-o afacerile electronice de tip eBusiness, organizaiile care doresc s supravieuiasc trebuie s vin n ntmpinarea beneficiarilor prin oferte de produse i servicii. Pe lng vnzarea acestora, companiile trebuie s i protejeze clienii, prin asigurarea integritii produselor vndute, dar n acelai timp s se protejeze pe ele nsele de atacuri intenionate sau nu care ar putea veni din exterior. Mediul de afaceri i nu numai acesta impune o siguran n funcionare apropiat de 100%. Pericolele de afectare a infrastructurii sunt ns foarte mari, complexe i cu caracter distructiv, ceea ce impune organizaiilor adoptarea de msuri de PREVENIRE, DETECTARE i RSPUNS la atacuri sau incidente.

Cerine pentru securizarea informaiei

Att la nivel de server (cel care stocheaz i manipuleaz informaiile din bazele de date) , ct i la nivelul componentelor de reea, exist patru cerine importante i necesare pentru securizarea aplicaiilor:

confidenialitatea: informaia nu trebuie s fie accesibil persoanelor neautorizate, adic numai expeditorul i destinatarul mesajului pot cunoate coninutul acestuia, care s fie inaccesibil unui interceptor; asigurarea confidenialitii se face prin criptare

integritatea: informaia trebuie protejat mpotriva coruperii sau modificrii neautorizate pe parcursul transmiterii mesajului

autentificarea: identitatea participanilor la tranzacii trebuie s fie cunoscut, adic destinatarul trebuie s fie sigur de identitatea expeditorului

nerepudierea: expeditorul i destinatarul s nu poat ulterior nega expedierea, respectiv primirea mesajului; nerepudierea se asigur prin semntur digital sau electronic

La care se adaug sigurana: mecanismele de securitate trebuie s fie robuste i corect implementate. Asigurarea confidenialitii este o problem important pe care o ridic securizarea bazelor de date i a tranzaciilor n reele. Identificarea i autentificarea sunt problemele din cele mai importante pe care la ridic validarea participanilor la o tranzacie. Corolarul unei autentificri puternice este dovada originii participanilor la tranzacii. Asigurarea autentificrii se face prin mecanisme bazate pe chei publice i pe semnturi digitale.

Domenii ale securizrii

Securizarea este necesar ori de cte ori se stocheaz date, se comunic interactiv prin reele de date i cnd se transmit i se primesc mesaje prin pot electronic. Securizarea este un concept mai larg dect criptarea, aa cum asigurarea intimitii3 este un concept mai larg dect securizarea.

Securizarea accesului la informaie

Securizarea implic asigurarea accesului persoanelor autorizate i mpiedicarea accesului persoanelor care nu sunt autorizate.

Asigurarea accesului persoanelor autorizate

Sistemele informatice conin baze de date care reprezint sursa principal de informaie i este prezentat utilizatorilor i prin acces la distan n reele sau via Internet. Acestea trebuie s fie protejate de eventualele intruziuni sau atacuri. Protejarea se bazeaz pe tehnici de control al accesului constnd n principal din

controlul accesului, i acordarea de drepturi de acces

n cadrul ntregului sistem sau doar la nivelul obiectelor ce compun sistemul. Autentificarea se poate face cel mai simplu prin intermediul parolelor, dar i prin intermediul unor servicii intermediare de autentificare prin mecanisme oferite de teri care includ servicii bazate pe metode de autentificare dintre cele mai diverse: semnturi / certificate digitale, carduri, amprente digitale, etc. Sistemele de control al accesului conin proceduri de autentificare a utilizatorului n sistem numite i logare4 care verific identitatea lui. n acelai timp se dezvolt permanent de ctre cei care vor s penetreze ilegal reelele informatice tehnici de eludare a mecanismelor de acces i penetrare a sistemelor informatice, care exploateaz breele de securitate n special sub form de virui i atacuri asupra sistemului.

Nume de identificare i parole

Cel mai rspndit mecanism de autentificare se bazeaz pe folosirea unui identificator al persoanei care solicit accesul5 i o parol6. Combinaia celor dou informaii este considerat adesea ca suficient pentru autentificare. Folosirea acestui mecanism de autentificare i securizare necesit ns serioase precauii. Folosirea parolelor prezint numeroase riscuri produse de alegerea de parole necorespunztoare, divulgate voluntar sau involuntar, interceptate, aflate de intruderi7 prin procedee diverse.

3 4 5 6 7

Privacy De la Log In sau Login User Name sau Nume de utilizator Password Persoane care acceseaz neautorizat o reea

De aceea, sistemele moderne de acces tind s foloseasc procedee biometrice cum sunt recunoaterea amprentei, a feei sau vocii persoanei respective sau utilizarea de smartcarduri care conin semntura electronic a persoanei care acceseaz sistemul. n sistemele interne de organizaie utilizatorii sunt adesea deranjai de necesitatea introducerii repetate a parolelor de acces i caut metode de simplificare a accesului care au ca rezultat sporirea vulnerabilitii sistemului.

Rolul parolei
Identificatorul nu este o informaie privat i adesea este cunoscut de ctre un numr mare de persoane. Parola este n schimb o parte vital a securitii unei reele. Aflarea parolei permite accesul la informaia confidenial a organizaiei, permite nu numai citirea dar i modificarea sau tergerea informaiei. Mai mult aflarea parolei permite accesul unor persoane neautorizate n reea. De aceea este o cerin standard ca orice cont s aib o parol bun i toate persoanele din organizaie s ia msuri pentru protejarea prin parole corespunztoare staiile de lucru i aplicaiile la care au acces.

Alegerea parolei
Accesul la reele i n special al Internet se face mpreun cu un numr extrem de mare de alte persoane printre care se afl i multe care ar dori s aib acces neautorizat la informaia protejat. Chiar i corespondena prin pot electronic este protejat ns numai prin acest mecanism simplu de identificator i parol. Toate aceste practici conduc la scderea considerabil a securitii datelor i creterea riscurilor de penetrare de ctre utilizatori neautorizai. Parolele trebuie s fie greu de ghicit i uor de reamintit de ctre utilizatorul autorizat. Multe aplicaii informatice posibilitatea folosirii unei ntrebri sau a unui cuvnt cheie pentru a-i aminti parola8. Parolele nu trebuie:

S fie prea scurte, timpul de spargere crete exponenial cu numrul de caractere n parol S conin numele utilizatorului n orice form S conin informaie uor de obinut despre utilizator (data naterii, codul numeric personal, adresa de domiciliu, numere de telefon, numele soului/soiei, numele copiilor, numrul de nregistrare sau marca autoturismului, etc.)

S foloseasc abrevieri des folosite i cuvinte des folosite cum ar fi 1234(56), 000000, admin, abcdef, nume de actori preferai, melodii, mrci de autoturisme, etc.

S nu foloseasc identificatorul de nume n niciun fel, nici inversat, nici cu litere mari sau mici, nici cu prefix sau sufix.

n schimb se recomand ca parolele:

8

Ca de exemplu numele de familie al mamei sau alte informaii de natur personal mai greu de aflat de ctre alte persoane

S fie o combinaie de cifre, litere i semne de punctuaie admise ct mai greu de legat de persoana respectiv

S fie mai lungi de 6 sau 8 caractere, funcie de aplicaie S conin un amestec de litere mari i mici, cifre i semne de punctuaie Sa reprezinte ceva uor de reamintit numai de ctre persoana respectiv S fie diferite pentru diverse aplicaii S fie schimbate periodic (unele aplicaii solicit imperios acest lucru) S fie pstrate confidenial, de exemplu s nu fie tiprite n clar pe foi de hrtie aflate n apropierea terminalului

S nu poat fi ghicite de programe n intervale rezonabile de timp S nu conin un algoritm care odat ghicit compromite toate parolele ca de exemplu substituia de litere conform codului lui Cezar descris mai jos

Parolele se uit frecvent. De aceea multe persoane aleg calea simpl a folosirii parolei standard oferite de sistem sau a numelui de identificare. n alte cazuri se folosesc parole simple cum ar fi numele sau prenumele utilizatorului, data naterii, numele firmei, etc. sau parole prea scurte. Exemple de modaliti de alegere a parolei :

Se poate alege un vers sau dou dintr-o poezie cunoscut de persoana respectiv, dar scris cu litere mari mici i adugnd erori de ortografie cunoscute numai de autorul parolei

Alegei o ntmplare din trecutul ndeprtat si extragei o parola creat pe baza regulilor de mai sus

Alegei succesiuni de consoane i vocale uor de pronunat, dar fr sens pentru alii Folosii mai multe cuvinte scurte cu intercalare de cifre sau semne de punctuaie

Pericole legate de folosirea parolelor

n afara posibilitii de ghicire a parolei mai exist i alte pericole:

Observarea de ctre o persoan aflat lng utilizator a parolei introduse ncredinarea pe termen limitat a parolei unei alte persoane care poate afla astfel modul general de stabilire al parolelor de ctre titular

Introducerea accidental a parolei n locul sau n continuarea identificatorului, caz n care rmne n log-urile sistemului

Deducerea parolei printr-un program care ncearc permutri i combinaii de caractere, procedur eficient la parole scurte9

Interceptarea parolei prin software specializat sa rein clapele tastate (n special la folosirea altor staii de lucru, de exemplu n Internet-Cafe)

Metod numit i for brut

Interceptarea parolelor keyloggere

Exist echipamente sau programe care instalate pe calculatorul int sau la distan nregistreaz caracterele corespunztoare clapelor tastaturii care au fost acionate. Sunt cunoscute sub numele de keyloggers10. Dac programul a fost instalat ilegal, el poate prezenta unei persoane sau organizaii spion toat succesiunea de clape acionate inclusiv toate parolele folosite. Principalele metode folosite sunt:

Echipamente keylogger
Echipamente de interceptare sunt instalate ntre tastatur i calculator fr a fi vizibile sau simplu de detectat. Un caz particular sunt dispozitivele ataate la bancomate, care par a face parte din echipamentul de baz i prin care infractorii intercepteaz PIN-ul cardurilor bancare..

Interceptarea tastaturilor wireless

Tastaturile wireless sunt conectate prin radio cu unitatea central. Datele sunt interceptate i dac nu sunt criptate parolele i alte informaii introduse prin tastatur sunt aflate.

Keyloggere acustice
Exist echipamente complexe care pot determina prin sunetele emise pe cele caracteristice anumitor clape. Metoda este mai puin folosit, necesitnd studii statistice i analiz de frecven.

Emisii electromagnetice
Emisiile electromagnetice ale unei tastaturi pot fi detectate prin radio pn la 15-20 m.

Supraveghere optic
Camerele de luat vederi discret plasate pot captura parolele i alte informaii. Metoda este folosit de infractori pentru interceptarea PIN-urilor cardurilor bancare la bancomate i uneori la POS-uri plasate n medii nesigure.

Metode de prevenire a interceptrii parolelor Parole dinamice (de unic utilizare)

O soluie pentru reducerea pericolelor legate de folosirea parolelor este folosirea de parole de unic utilizare. Spre deosebire de parolele clasice numite i statice, parolele dinamice se schimb automat de la o folosire la alta sau devin de nefolosit dup un interval de timp. Ele folosesc un dispozitiv numit uneori token11 sau digipass12 care poate fi uor purtat de o persoan i rspund la cerina de securizare a accesului la informaii confideniale, ca de exemplu n cazul intraneturilor unor organizaii sau a aplicaiiFigura 2 Dispozitiv de tip token

lor de Internet banking.

10 11 12

Traducere liber: nregistratoare de clape Dispozitiv care este folosit in asigurarea securitii accesului la reele In cazul token-urilor firmei VASCO

Accesul prin token este categorisit ca autentificare puternic13. Utilizatorul acceseaz token-ul avnd de introdus un PIN. Apoi in funcie de soluia sistemului fie citete o parol numeric de pe token i o introduce n calculator (cazul Numai rspuns), fie primete o parola de la calculator, o introduce n token, primete o alt parol pe care o introduce n calculator. n ambele cazuri parola de acces la sistem se folosete o singur dat i expir dac nu este folosit o perioad scurt de timp. Parola de unica utilizare se mai numete OTP14. Pentru sisteme mai complexe se folosesc i dispozitive mai sofisticate care au posibilitatea de a fi blocate/deblocate cu smartcarduri.

Tastaturi afiate pe ecran

nlocuirea tastaturii fizice cu una afiat pe ecran, acionat prin clicarea cu mouse-ul, combate keylogging, dar cu efect limitat, existnd pachete software sofisticate care intercepteaz i caracterele introduse astfel.

Tastaturi web
Tastaturile web bazate pe scripturi ofer o protecie mai bun contra interceptrii. Sunt folosite din ce n ce mai mult de ctre bnci.

Anti-keylogging software
Exist i aplicaii anti-keylogging care se bazeaz pe analiza semnturii unor keyloggere cunoscute. Ca i n cazul aplicaiilor anti-virus, protecia este asigurat numai la keyloggerele cunoscute.

Recuperarea parolelor
O serie de aplicaii disponibile comercial recupereaz parolele uitate15. Operaia se mai numete i spargere16 de parole, deoarece nimeni nu garanteaz c persoana care recupereaz parola este cea ndreptit s o fac. Astfel de produse permit recuperarea/spargerea parolelor pentru marea majoritate a aplicaiilor existente pe un calculator personal. Soluia este folosirea de parole cat mai lungi si cu folosirea de litere, cifre si semne speciale. Fiierele de tip Office indiferent de productorul suitei Office sunt cele mai vulnerabile la acest gen
Figura 3 Tastatura afiat pe ecran

de spargere a parolelor, aplicaiile de aflare a paro-

lei fiind disponibile pe Internet la preuri modeste sau chiar n variante mai puin puternice gratuit.

13 14 15 16

Strong authentication One Time Password Exemple la http://www.lostpassword.com/ sau http://www.crackpassword.com/ Crack

Schimbarea parolelor
Parolele trebuie schimbate frecvent. Chiar dac parola este bun, ea poate fi descoperit ntmpltor sau intenionat n situaiile prezentate mai sus ca pericole. Parolele trebuie schimbate ori de cte ori exist suspiciunea unui pericol, la ntoarcerea din cltorii i periodic, de exemplu la fiecare nceput de an.

Prevenirea accesului persoanelor neautorizate

Spre deosebire de problematica accesului persoanelor autorizate, prevenirea accesului persoanelor neautorizate complic mult proiectarea i administrarea sistemelor informatice. Numrul utilizatorilor Internet crete continuu i printre acetia se gsesc din ce n ce mai multe persoane cu cunotine tehnice suficiente i care doresc penetrarea reelelor unei organizaii n diferite scopuri nu totdeauna licite.

PENETRAREA REELELOR
Principalele consecine ale accesului persoanelor neautorizate sunt infectarea reelei i a calculatoarelor acesteia cu malware i atacuri de tip oprirea serviciilor17.

Malware
Un termen nou folosit pentru acele programe care se infiltreaz sau deterioreaz un sistem este de malware18. Prin malware se neleg nu numai diverii virui de tip Troian, backdoor sau de root, dar i malware creat pentru ctig financiar spyware, botnets, loggers i dialers. Pe msur ce se perfecioneaz tehnicile anti-malware apar noi i noi forme de programe de acest tip. Instalarea de software anti-malware este recomandat, dar nu garanteaz protecie absolut. Din ce n ce mai mult este necesar educarea utilizatorilor de e-mail i celor ce navigheaz pe web, principalele ci de transmisie a malware, pentru a recunoate i nu deschide mesaje sau situri purttoare de virus.

Virui informatici
Viruii sunt programe care se infiltreaz n calculatoarele int cu efecte nedorite. Printre efecte se pot enumera autoreplicarea, infectarea altor programe, modificarea mediului de lucru. Nu este obiectivul acestui capitol s detalieze subiectul, dar s reinem c ei se transmit prin canalele de acces n sisteme, se deghizeaz n programe proprii sistemului i au aciune imediat sau ntrziat.

Adware
Ca adware19 numim programele care afieaz cadre care apar peste imaginea de baz (pop-up) i conin o reclam la un produs sau serviciu. Ele deranjeaz de obicei utilizatorul i majoritatea navigatoarelor Internet permite anularea apariiei lor.

17 18 19

Denial of service Provenind din malicious software (software care produce daune) Provenind din advertising software (software pentru reclame)

Backdoor
Ca backdoor numim programele care se infiltreaz n calculatoare i acceseaz resursele acestora sau a reelelor din care fac parte. Uneori sunt generate backdoor-uri n scopuri utile pentru a permite utilizarea unor aplicaii.

Troian cu administrare la distan

Este un virus de tip Troian care acceseaz fiierele calculatorului prin conexiunea la reea. Mai este numit i Rat conform iniialelor n limba englez20.

Rootkit
Un rootkit21 este un set de instrumente care sunt folosite de un atacator pentru a obine privilegii de administrator i a obine informaii despre sistem sau a-l modifica. Diverse studii arat c scopul principal al atacurilor cu virui este ctigul financiar prin culegerea de date i posibil aciuni de antaj ulterioare. Numai n prima jumtate a anului 2006 au aprut 43 mii noi virui de tip troian22. O surs major de virui au devenit comunicaiile wireless de tip Wi-Fi.

Programe de spionare - Spyware

Programele de spionare care sunt instalate pe calculatoare, de regul ilicit, colecteaz fr tirea utilizatorului date importante despre acesta. Instalarea licit se refer la organizaii care n acest fel monitorizeaz activitatea n reea a salariailor. Programele spyware sunt greu detectat i nu numai monitorizeaz activitatea pe calculatorul infectat. Ele culeg date personale, identificatori i parole, adrese de mail, site-uri vizitate, etc.

Perturbarea serviciului
Atacatorii inund serverul cu mesaje false folosind adrese IP false pentru a bloca reeaua i mpiedica mesajele utile s ptrund n sistem. Fenomenul este greu de stpnit deoarece mesajele sunt transmise din calculatoare care nu aparin atacatorilor prin metode de folosire a acestora ca releu fr cunotina proprietarilor de drept..

Atacuri mpotriva sistemelor informatice

Atacurile asupra sistemelor informatice au nceput mai mult ca exerciii inofensive de penetrare a sistemelor informatice de ctre amatori. Ele au evoluat ns intrnd n atenia unor persoane i organizaii care le folosesc n scopuri de furt de informaie, alterare sau distrugere de date, etc. ajungndu-se chiar la forme evoluate de rzboi electronic sau cyberware.

20 21 22

Remote administration trojan - Rat Rootkit kit de rdcin Sursa: Microsoft

10

Hackeri i crackeri
Termenul cel mai cunoscut pentru persoanele care penetreaz sau atac sistemele informatice este acela de hacker23, dei la nceput hacker era numele sub care era cunoscut un programator amator. Hackerii susin c sensul peiorativ nu-i avantajeaz i consider c personajul negativ trebuie s fie numit cracker24.

Tehnici de atac i acces neautorizat

O entitate25 numit generic hacker procedeaz de regul dup un scenariu clasic:

Colectarea informaiei despre inta atacului; de exemplu nume de domeniu, adrese IP, adrese fizice, informaii financiare, etc.

Identificarea serviciilor publice oferite de int; servere web, FTP, e-mail, etc. De obicei se scaneaz porturile pentru a vedea care sunt deschise

Studierea vulnerabilitilor intei i se constat care sunt configuraiile defectuoase, cele tip, etc. Exploatarea vulnerabilitilor n ncercarea de a ajunge n interiorul intei Utilizarea accesului obinut, hackerul devenind utilizator cu drepturi depline i aparent autorizat

Furtul de identitate
Identitatea nu poate fi furat, ea poate fi ns fals asumat, dar termenul de furt este des folosit pentru situaiile n care o persoan sau organizaie pretinde a fi altcineva dect este n realitate cu scopul de a obine acces la anumite resurse n numele acelei persoane. Aa cum n lumea fizic aceast asumare fals de identitate este cel mai des infraciune i n lumea virtual consecinele sunt aceleai, legile fiind adaptate s pedepseasc i falsa identitate digital. Furtul de identitate poate avea scopuri comerciale sau financiar-bancare, judiciare, medicale, etc. Printre cazurile aparent banale, dar extrem de rspndite, se numr folosirea adresei de email a altei persoane prin furtul parolei de acces si crearea unei pagini pe Facebook sau a unui blog pe numele altei persoane dect cea real. Muli consider tentativa de a accesa emailul unor rude sau cunoscui ca un fapt benign. n realitate este nclcare a legii. n anii 2010-2011 mass-media din Romnia a relatat nceperea urmririi penale pentru o persoan care a accesat ilegal emailul soiei disprute de la domiciliu.

Furtul de identitate n reele Wi-Fi (Firesheep)

O extensie a navigatorului numit de autor26 Firesheep demonstreaz vulnerabilitatea accesului neprotejat prin Wi-Fi. Prin Firesheep se pot accesa conturi ale utilizatorilor aflai pe acelai punct de acces Wi-Fi. Identificatorii i parolele sunt interceptate i interceptorul intr pe aceleai reele sociale sau pagini web cu persoana

23 24 25 26

Probabil c traducerea cea mai apropiat n limba romn este aceea de cioplitor. Sprgtor Poate fi o persoan sau o organizaie cu scopuri adverse Eric Butler, Seattle, Washington, SUA

11

spionat. Interceptarea se produce i n reelele Wi-Fi protejate cu parol, deoarece interceptorul pentru a avea acces a primit sau cumprat i el parola. Larga rspndire a Facebook i Twitter face ca acest gen de furt lateral s devin foarte rspndit i periculos. Se recomand folosirea cu grij a reelelor Wi-Fi, mai ales cele publice, din hoteluri, aeroporturi, restaurante, etc. Pe ct posibil accesul 3G sau 4G este de preferat accesului Wi-Fi.

Tehnici de protecie mpotriva acceselor neautorizate

Prevenirea acceselor neautorizate poate fi comparat cu o curs a narmrilor. Sistemele informatice sunt dotate cu instrumente mereu perfecionate de control al accesului i ncercrile de acces neautorizat devin din ce n ce mai sofisticate. Este adevrat c adesea aceste instrumente controleaz i fluxul invers de date din organizaie spre exterior. Pentru protejarea sistemelor informatice mpotriva accesului persoanelor neautorizate se folosesc trei instrumente principale managementul actualizrilor de securitate, sisteme firewall i sisteme de detectare a intruziunilor.

Managementul actualizrilor de securitate

Toate firmele importante care produc software actualizeaz periodic produsele lor pentru a elimina diversele posibiliti de acces ale software-ului de tip malware sau al persoanelor neautorizate. Aceste actualizri27 se descarc de pe site-urile firmelor respective. Este extrem de important s se actualizeze ntotdeauna pachetele de programe respective, eliminndu-se n acest fel ci de penetrare nedorit a sistemului. Actualizarea se poate face automat sau cu consimmntul posesorului calculatorului (recomandat pentru a fi la curent
Figura 4 Firewall

cu numrul de actualizri).

Sisteme firewall
Asigurarea confidenialitii i integritii datelor este una dintre destinaiile unui sistem firewall. Un firewall are dou roluri fundamentale:

control al accesului: Este posibil ca unele servere s fie vizibile din reele publice, n timp ce altele nu. Alocarea drepturilor de acces depinde de necesiti, dar i de riscurile pe care doreti s i le asumi. Un exemplu de server care trebuie s fie accesibil din exterior este serverul de pota electronic. Ca regul general, se recomand ca niciodat s nu se ofere unor servere sau servicii drepturi de acces mai mari dect au nevoie, pentru a nu oferi hackerilor puncte suplimentare de intrare n sistem.

27

Numite i patch-uri (petice)

12

asigurarea caracterului privat al reelelor companiilor: se refer tocmai la asigurarea confidenialitii datelor existente n cadrul intranet-ului unei companii.

Un firewall blocheaz informaiile care nu sunt solicitate prin caracteristicile i setarea reelei i ascunde structura reelei transmind mesajele acesteia ca fiind originare din firewall. De asemenea. n multe cazuri un firewall verific mesajele de intrare pentru a le accepta numai pe cele din surse autorizate i scaneaz intrrile pentru eliminarea hackerilor cunoscui. Complexitatea unui firewall poate merge de la o simpl filtrare de pachete pn la controlarea accesului la aplicaii sau servere proxy28. Un firewall de aplicaii se numete adesea gateway29. Un firewall poate fi instalat ca un sistem software, dar i ca un echipament cu software specializat. Un firewall sofisticat asigur o securitate mare, dar cost mai mult. Este necesar o balanare a avantajelor fa de costurile implicate.

Sisteme de detectare a intruziunilor

Numite i IDS30, sistemele de detectare a intruziunilor sunt destinate s descopere i s raporteze activitile suspecte n reele. Ele se bazeaz pe

recunoaterea principalelor tehnici folosite de hacker, semnturile lor, ncercrile de exploatare a unor vulnerabiliti hardware sau software, etc. sau pe

detectarea de anomalii prin monitorizarea funcionrii normale i semnalarea ulterioar a baterilor de la comportamentul normal.

Ambele metode au avantajele i dezavantajele lor. Recunoaterea tehnicilor de intruziune nu este eficient la noi tehnici ce pot apare, iar monitorizarea activitii normale poate nsemna i includerea unui atac nedetectat n situaia considerat normal.

Prevenirea acceselor neautorizate

n ciuda tuturor msurilor de prevenire se produc accese neautorizate. Pentru limitarea daunelor se recomand o serie de msuri de siguran.

Adoptai o atitudine proactiv: prevenirea este mai ieftin dect depanarea Securitatea trebuie asigurat 24 ore din 24, 7 zile din 7 Alegei parole sigure i schimbai-le frecvent Fii prudeni; nu presupunei c mediul n care lucrai este sigur Majoritatea atacurilor provin din interiorul organizaiei! Schimbai periodic procedurile de acces la date i n mod obligatoriu la plecarea unor persoane cheie cu acces la baze de date cu coninut sensibil

28 29 30

Un server proxy intercepteaz toate mesajele care intr i ies din reea i ascunde adresele reale ale calculatoarelor din reea Poart de intrare Intrusion Detection Systems

13

Instruii-v i instruii personalul cu tehnicile de securitate necesare Creai (automat sau manual) copii de rezerv a bazelor de date importante Pentru siguran mai mare atunci cnd este necesar, folosii tehnici de criptare! Indiferent de puterea algoritmului de criptare folosit este necesar s fie folosite i alte msuri de protecie a informaiei, implicnd metode de vigilen i supraveghere

14

CRIPTARE, SEMNTURI I CERTIFICATE DIGITALE

Criptare i criptanaliz Criptarea
Metodele clasice de identificare, autentificare i asigurare a confidenialitii sunt neoperabile n mediu electronic. De aceea, se folosete criptarea31 care a ajuns astfel s fie folosit de sute de milioane de oameni conectai la Internet sau n reele de organizaie.. Tehnicile folosirii unor metode matematice pentru criptarea i decriptarea datelor destinate a fi transmise n medii nesigure sunt folosite de mii de ani pentru a asigura secretul comunicrii. Textul sau alt form de comunicare este transformat pentru a deveni neinteligibil pentru orice alte persoane cu excepia celor crora le este adresat. Operaia de secretizare se numete criptare, n timp ce operaia invers se numete decriptare. Criptarea poate fi puternic sau slab, cea puternic fiind destinat aplicaiilor de interes larg, guvernamental, afaceri, comer, etc. Criptografia puternic necesit resurse importante i scumpe pentru decriptare. Sistemele de criptare sunt astfel construite nct ele nu pot fi penetrate prin deducerea metodei de criptare, adic prin analogie trebuie s se bazeze pe posesia unei chei i nu a cunoaterii mecanismului de construcie a lactului32. Se spune c Iulius Caesar trimitea generalilor mesaje criptate prin aa numita metod a deplasrii cu 3, adic A devine D, B devine E, .a.m.d. Astfel DACIA se cripteaz ca GDFMG. Aceast form primitiv de criptare adaptat vremii cnd curierii nu erau probabil prea colii este o form clasic de criptare bazat pe mecanism de lact uor de dedus.

Criptanaliza
Criptanaliza este tehnica analizei i descifrrii comunicrii criptate. Stpnit de un numr limitat de specialiti, criptanaliza este folosit cu precdere de instituii guvernamentale pentru asigurarea proteciei naionale i internaionale. Criptanaliza este folosit pentru descifrarea mesajelor criptografiei puternice, cele slabe fiind prea simple pentru specialitii domeniului. n lupta ntre criptografi i criptanaliti nu exist dect nvingtori temporari, progresele tehnologiei informaiei putnd face o metod de criptare impenetrabil azi, descifrabil n viitor. Nu trebuie confundat criptanaliza care necesit i importante resurse de tehnic specializat cu fenomenul activitii hackerilor despre care se va discuta n alt parte.

31 32

Cnd criptarea avea ca mediu principal de transmitere a mesajelor forma scris denumirea preferat era aceea de criptografie Principiul lui Kerkoffs

Algoritmi i chei de criptare

Criptarea folosete chei de criptare. Prin criptare cu o anumit cheie mesajul n clar devine neinteligibil i destinatarul l decripteaz folosind de asemenea o cheie. Atacatorul are acces la informaia criptat, dar nu o poate decripta dect dac posed sau deduce cheia. Cu ct lungimea cheii este mai mare cu att decriptarea neautorizat este mai dificil. Criptarea puternic este considerat n categoria armelor i muniiei i este supus controlului aa cum se va arta n capitolul privind aspectele juridice ale folosirii criptrii.

DES standard de criptare a datelor

Pentru facilitarea interaciunii ntre diverse sisteme digitale de criptare a fost elaborat n 1975 de ctre corporaia IBM n colaborare cu NSA33 un standard de criptare numit DES34, ulterior preluat ca standard naional pentru comunicaii guvernamentale nesecrete i pentru mediul de afaceri. Cheile au o lungime de 64 bii dintre care 56 generate aleatoriu. Chiar cunoscnd algoritmul, decriptarea conform standardului nu se poate face fr cunoaterea cheii. La o lungime de 56 bii corespund 256 chei. Cu calculatoare specializate costnd cteva sute de mii de dolari o astfel de cheie se poate sparge35 n cteva zeci de ore. La fiecare bit adugat la lungimea unei chei, timpul de spargere a cheii se dubleaz. Standardul DES este dezvoltat mai departe n AES36. Cheile folosite n sectoarele bancar i comercial au n prezent o lungime de 128 bii. Pentru sisteme cu gard ridicat de protecie se folosesc lungimi chei de 1024/2048 bii. Cele dou sisteme de criptare cu chei folosite n prezent sunt:
Figura 5 Criptare cu chei simetrice

Criptarea convenional cu chei simetrice Criptarea cu chei asimetrice

Criptarea convenional cu chei simetrice

Criptarea convenional se bazeaz pe algoritmi simetrici n care o cheie secret este amestecat cu informaia asigurnd secretizarea acesteia. Cheia de criptare este aceiai cu cheia de decriptare. Participanii la schimbul de mesaje trebuie de aceea s schimbe ntre ei cheia secret de criptare/decriptare. Intruderul trebuie s ncer-

33 34 35 36

National Security Agency, agenie guvernamental secret din SUA Data Encryption Standard Expresie folosit n jargon profesional pentru operaia de deducere a cheii Advanced Encryption Standard

16

ce toate combinaiile posibile de chei pentru a citi sau altera mesajul. Schimbul de chei este o procedur care creeaz mari dificulti i permite apariia a numeroase elemente de vulnerabilitate. Schimbul sigur de chei secrete este inoperabil n reele mari, fiind imposibil de pstrat secretul cheii atunci cnd numrul participanilor este ct de ct mare i nu poate fi conceput fr ca persoanele participante la schimbul de mesaje s se fi ntlnit n prealabil. Criptarea convenional nu permite, de asemenea, autentificarea participanilor la tranzacii. O cheie furat permite simplu substituirea expeditorului.

Criptarea cu chei publice

Criptarea cu chei publice se bazeaz pe algoritmi asimetrici i rezolv problemele de identificare, autentificare i asigurare a confidenialitii n tranzacii n reele publice. Schimbul de mesaje criptate se poate face chiar dac persoanele respective nu s-au ntlnit n prealabil i chiar n condiiile unui mediu de transmitere nesigur cu interceptri facile a mesajelor. ntr-un demers teoretic publicat n 1976 de Diffie i Hellman, s-a propus o metod de schimbare de mesaje secrete fr a schimba chei de criptare secrete. A aprut posibilitaFigura 6 Criptare cu chei publice

tea de a folosi perechi de chei, una secret i

una public. Este imposibil de dedus prin calcul cheia secret din cea public. Cu cheia public a unei persoane oricine poate cripta un mesaj, dar numai persoana respectiv folosind cheia sa secret l poate descifra. Pe aceste baze teoretice au fost elaborate mai multe sisteme criptografice cu chei publice printre care RSA, Elgamal i DSA.

RSA
RSA37 a fost inventat n 1977 de ctre un grup de profesori de la MIT ca un sistem criptografic cu chei publice de tip PK38. n locul folosirii unei chei unice pentru criptare i decriptare, RSA folosete o pereche de chei una public i una privat(secret) folosite n procesul schimbului informaiei secrete. Cheile se calculeaz dup algoritmul prezentat mai sus. Fiecare cheie produce o transformare univoc a informaiei. Cheile din pereche au roluri complementare, efectul produs de una din ele este anihilat numai de cealalt. Metoda const n folosirea unei funcii unidirecionale, care este uor de calculat, dar extrem de greu de inversat. Funcia Diffie-Hellman este bazat pe exponeniere modular; fiind dat un numr prim p i numerele a i x mai mici dect p, se calculeaz y = ax mod (p) care se folosete

37 38

Dup numele autorilor Ronald Rivest, Adi Shamir i Leonard Adleman Numit PK de la Public Key

17

drept cheie. Se poate demonstra matematic c dac determinarea lui y se face extrem de uor, operaia invers de determinare a lui x cunoscnd a, p i y dureaz de un timp calculat la puterea p. Astfel dac p este un numr prim cu 1000 cifre, raportul timpilor este 21000. Numerele a i p sunt standardizate i publice. Cheia public RSA este fcut disponibil public de posesor, n timp ce cheia lui privat este inut secret. Pentru a trimite un mesaj secretizat, expeditorul cripteaz mesajul cu cheia public a destinatarului. Un astfel de mesaj poate fi descifrat numai cu cheia privat (secret) a destinatarului.

Comunicarea prin criptare cu chei publice

Etapele comunicrii prin criptografie cu chei publice sunt: Expeditorul E cripteaz mesajul cu o cheie proprie E cripteaz mesajul i cu cheia public a destinatarului D. D decripteaz mesajul cu cheia lui secret care este univoc corelat cu cheia sa public folosit de E Protocoalele de securitate sunt n realitate mai complexe, dar n principiu sunt respectate aceste 3 etape. Succesul comunicrii cu chei publice este determinat de imposibilitatea decriptrii cheii secrete n timp rezonabil. Pentru chei de 1024 bii cu tehnologia actual ar fi necesari dup unii autori 1010 ani. Totui, comunicarea prin criptografie cu chei publice funcioneaz corect dac se respect dou condiii:

Cheia secret rmne cu adevrat secret i nu este furat din calculatorul unde este instalat; furtul este prevenit prin criptarea puternic la rndul ei a cheii secrete

Cheia public este distribuit pe ci sigure

Din aceste motive au fost construite infrastructuri specializate de chei publice.

Infrastructur de chei publice PKI39

Securitatea ntr-o organizaie sau ntr-un sistem mai larg se asigur printr-o infrastructur de chei publice de tip PKI., care este o combinaie de echipamente, programe i proceduri care asigur securitatea necesar tranzaciilor electronice. Un astfel de sistem asigur identificare participanilor la tranzacii i se bazeaz pe semnturi electronice, certificate digitale i autoriti de certificare.

Semntura electronic (digital)

Utilizarea cheii secrete proprii n procesul de criptare joac rol de semntur digital sau electronic, deoarece numai posesorul cheii private putea cripta mesajul la expediie, deci se creeaz posibilitatea de autentificare. Autentificarea se obine astfel printr-o semntur digital. Semntura digital se creeaz prelucrnd textul

39

acronim de la Public Key Infrastructure

18

printr-un algoritm de amestec (hash40) similar celui descris i propus tot de Diffie i Hellman. Rezult astfel un amestec al mesajului, care criptat cu cheia privat a expeditorului devine semntura sa electronic sau digital. Semntura digital poate fi decriptat numai cu cheia public a aceluiai expeditor. Destinatarul prelucreaz semntura digital primit i recalculeaz amestecul (hash) mesajului. Valoarea acestei amprente este comparat cu amprenta aflat din semntur. Dac valorile coincid mesajul este original. Deoarece verificarea semnturii s-a fcut cu cheia public a expeditorului i textul a fost semnat cu cheia lui privat cunoscut numai de el, n acest fel se asigur o autentificare performant. Este imposibil ca altcineva s fi generat semntura deoarece ea se bazeaz pe cheia secret a expeditorului. Folosirea cheii secrete a expeditorului asigur i funcia de nerepudiere, expeditorul neputnd nega paternitatea mesajului.

Certificatul digital
Utilizatorii de tehnologii RSA de regul anexeaz cheia lor public la un mesaj trimis. n acest fel destinatarul nu este obligat s se adreseze unui depozitar de chei publice. Este ns probabil ca o cheie public, chiar la un depozitar, s nu aparin n fapt persoanei care este declarat ca posesor, deci poate apare un fals posesor de cheie care intercepteaz mesajele secrete. Evitarea acestei situaii se face cu un identificator digital sau certificat care se nsereaz n cheia public a utilizatorului i garanteaz c expeditorul este persoana care pretinde c este. Certificatul digital se emite de ctre o persoan sau organizaie de ncredere, cel mai des o Autoritate de Certificare. Autoritatea trimite utilizatorului sistemului un certificat digital criptat suplimentar cu cheia autoritii respective. Cnd utilizatorul transmite un mesaj ataeaz acest certificat digital. Destinatarul verific cu acest certificat cheia public a expeditorului i apoi folosete cheia public pentru decriptare. Cu folosirea de certificate digitale lanul de autentificare se simplific, nefiind nevoie de publicat dect cheia public a Autoritii de Certificare. Utilizatorii transmit mesaje cu certificatul digital propriu i cheia public a destinatarului.

Standarde de securitate pentru schimbul de informaii

X.509 ITU a emis un standard pentru certificatele digitale numit X.509. Un certificat X.509 este un fiier care conine informaii despre posesor cum ar fi numele acestuia, numele autoritii, cheia public a utilizatorului, semntura digital, valabilitatea certificatului i un numr de serie. SSL SSL41 este un protocol standardizat care permite ca de la servere SSL s se asigure folosind tehnologii de criptare trei servicii importante:
Figura 7 Smartcard

40 41

Mrunire, amestec Secure Sockets Layer

19

Protejarea mesajului prin criptare mpotriva intruderilor Integritatea mesajului prin coduri de autentificare pentru limitarea efectelor interceptrilor Autentificarea reciproc a mesajelor mpotriva impostorilor

Autoriti de certificare
Emiterea de certificate digitale se bazeaz pe ncredere. Autoritile de certificare sunt organizaii n care persoanele care schimb mesaje au ncredere, fiind numite uneori i Autoriti de ncredere TA42. Acestea emit certificatele unor persoane verificabile ca identitate. Verificarea identitii se face prin mai multe metode. Astfel de organizaii recunoscute care emite certificate digitale sunt n SUA VeriSign, Entrust, Cybertrust, RSA. Prin clicarea icoanei din figura 42 postat pe un site se poate afla de exemplu validitatea certificrii de ctre VeriSign cu informaii privind certificatul i validitatea lui. Un certificat expirat nu nseamn neaprat c
Figura 8 Eticheta VeriSign

posesorul certificatului nu mai este de ncredere43, dar riscul unui schimb de mesaje cu acesta este ridicat.. Transmiterea de date confideniale unor situri necunoscute se va face numai dac sunt certificate de o autoritate de certificare reputat. Autoritile de certificare sunt la rndul lor certificate de o autoritate public sau de una n care participanii au ncredere. Emiterea de certificate digitale i serviciile de infrastructur PKI au devenit una din afacerile de anvergur ale Economiei Digitale. Principalul domeniu este comerul electronic n care participanii trimit informaii confideniale prin Internet cum sunt datele card-urilor personale sau informaii privind afacerile derulate. n Romnia mai multe firme pot emite certificate, pentru emiterea de certificate recunoscute n relaia cu instituii publice fiind necesar autorizarea acestora. Alte autoriti de certificare pot fi garantate de autoriti publice sau private ca de exemplu bnci.

Certificate proprii sau serviciile autoritilor de certificare?

Folosirea de certificate de tip X.509 se poate face att n scopuri interne organizaiei, ct i pe Internet. Dac este natural ca pentru interaciunea cu alte organizaii sau persoane pe reele publice s fie de preferat o autoritate recunoscut, pentru sisteme informatice interne apare dilema dac s se foloseasc un furnizor extern de certificate sau s se creeze propria infrastructur. Infrastructura proprie permite un control mai strict al politicilor de securitate i certificare, dar poate s coste mai mult i cu timp de implementare mai mare. Rspunsul poate fi dat numai dup analiza atent a cazului particular al organizaiei.

42 43

Trust Authorities Uneori firmele sau persoanele posesoare de certificat uit s-l rennoiasc

20

PGP
PGP44 este un software de criptare care permite schimbul de mesaje sau documente criptate cu chei de lungime 1024/2048 bii. Produsul este disponibil fr plat45 pentru aplicaii necomerciale i neguvernamentale. Sistemul genereaz perechea clasic de chei privat i public i o parol necesar numai accesului la mesaje criptate pe calculatorul propriu. Cheile publice se schimb ntre utilizatori. Un mesaj e-mail sau un fiier destinat unei anumite persoane se cripteaz cu cheia public a acelei persoane i numai acea persoan poate decripta mesajul. Dac se folosesc mai multe chei publice se poate lrgi aria de distribuie a mesajelor criptate. Exist i opiunea de semnare a mesajului/fiierului pentru autentificare. Cu PGP se poate securiza informaii de pe discurile calculatorului criptndu-le cu cheia proprie i devenind invulnerabile la produsele de recuperare/decodare a parolelor pentru produse cum sunt cel din MS Office. PGP este un produs dezvoltat iniial de Phil Zimermann i a fcut obiectul unor prime controverse privind exportul neautorizat ale unui produs considerat strategic. Variantele care se pot utiliza n SUA i in afara SUA sunt diferite.

Aspecte juridice ale folosirii criptrii

Criptarea este absolut necesar pentru protejarea unor informaii secrete comerciale sau ale entitilor publice, dar care trebuie transmise prin reele informatice. Criptarea evoluat poate fi ns fi folosit i de ctre persoane sau organizaii subversive, criminale sau teroriste. Ageniile nsrcinate cu protecia naional sau internaional a societii trebuie s poat decripta mesajele care pot aduce atingere siguranei cetenilor. Simpla dotare a acestora cu instrumente ultra-performante de decriptare se dovedete insuficient. Legislaiile naionale sau internaionale au fost de aceea adaptate pentru a permite accesul la informaia criptat care poate aduce atingere interesului societii.

Legislaie general privind accesul la informaie din reele informatice

Legislaia este adaptat pentru a permite accesul ageniilor autorizate la informaia considerat a nclca legea sau a aduce atingere interesului public. Au fost adoptate principalele legi n Romnia n care se regsesc astfel de prevederi46.

44 45 46

acronim provenind din 'Pretty Good Privacy' prin descrcare de pe situl www.pgpi.org HOTRRE nr. 7 din 8 ianuarie 2004 privind protecia juridic a serviciilor bazate pe acces condiionat sau constnd n accesul

condiionat, HOTRRE nr. 1173 din 2 octombrie 2003 privind atribuirea electronic i distribuirea autorizaiilor de transport rutier internaional de marf, HOTRRE nr. 1085 din data de 11.09.2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri referitoare la implementarea Sistemului Electronic Naional, Ordonana nr. 73 din 28/08/2003 pentru modificarea i completarea Ordonanei Guvernului nr. 20/2002 privind achiziiile publice prin licitaii electronice, LEGE nr. 304 din 4 iulie 2003 pentru serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile de comunicaii electronice, LEGE nr. 250 din 10 iunie 2003 pentru aprobarea Ordonanei de urgen a Guvernului nr. 193/2002 privind introducerea sistemelor moderne de plat, LEGE nr.

21

O dezbatere aprins a avut loc n SUA atunci cnd ageniile de securitate au solicitat depunerea n depozite protejate a unor chei de decriptare pentru uzul acestora n caz de necesitate. La protestele comunitii de afaceri o astfel de legislaie nu a fost n final adoptat.

Controlul exportului de sisteme de criptare

Pericolele folosirii criptrii mpotriva securitii naionale au fcut ca tehnologiile electronice de criptare s fie considerate muniie i se supun legislaiei de control a diseminrii acesteia. Prin convenie internaional Romnia controleaz exportul de astfel de
Figura 9 Gemalto SEG 3 in 1 USB token

tehnologii prin Agenia Naional de Control al Exporturilor Strategice i al Interzicerii Armelor Chimice - ANCESIAC.

ACCESUL SECURIZAT N REELELE INFORMATICE

Dezavantajele metodelor simple bazate pe identificatori si parole fac ca accesul in reele informatice s fie abordat n prezent printr-o combinare a metodelor clasice cu metode de criptare si semnturi digitale. Mai mult se securizeaz nu numai accesul ci i documentele i mesajele transmise. Sistemele moderne de securizare permit combinarea securizrii accesului in reelele informatice cu accesul fizic n cldiri sau ncperi in care se afla informaii confideniale. In acest caz se folosesc carduri inteligente47 (smartcarduri) mixte (figura 44) cu ajutorul crora persoanele autorizate pot accesa i reelele informatice i pot avea i acces fizic n anuFigura 10 Structura unui card mixt de autentificare

mite zone ale organizaiei. Parolele clasice si vulnerabile folosite in mod tradiional sunt in acest caz nlocuite
202 din 16 mai 2003 pentru aprobarea Ordonanei Guvernului nr. 19/2003 privind obligativitatea utilizrii sistemului electronic de colectare a datelor statistice, LEGE nr. 161 din 19 aprilie 2003, privind msurile mpotriva corupiei, Ordonana de urgenta nr. 193 din 12 decembrie 2002 privind introducerea sistemelor moderne de plat, LEGE nr. 591 din 29 octombrie 2002 pentru aprobarea Ordonanei de urgen a Guvernului nr. 79/2002 privind cadrul general de reglementare a comunicaiilor, LEGE nr. 544 din 12 octombrie 2001 privind liberul acces la informaiile de interes public, LEGE nr. 365/2002 privind comerul electronic, LEGE nr. 291/2002 pentru aprobarea Ordonanei Guvernului nr. 24/2002 privind ncasarea prin mijloace electronice a impozitelor i taxelor locale, publicat n M.O. nr. 346 din data de 24 mai 2002, ORDONANA nr. 24 /2002 privind ncasarea prin mijloace electronice a impozitelor i taxelor locale, publicat n Monitorul Oficial nr. 81, din 1 februarie 2002, ORDONANA nr. 20/2002 privind achiziiile publice prin licitaii electronice,

publicat n Monitorul Oficial nr. 86 din 1 februarie 2002, HOTRRE DE GUVERN nr. 1259 din 13 decembrie 2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semntura electronic, LEGE nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, LEGE nr. 676 /2001 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor, publicat n Monitorul Oficial nr. 800 din 14 decembrie 2001
47

Smart-card

22

de codul PIN si certificatul digital aflate pe smartcard. Vulnerabilitatea prin spargere sau furt al parolelor este practic eliminata si se asigura la un alt nivel protecia resurselor interne al organizaiilor.

Accesul in reelele informatice

Certificatul digital este emis de ctre serverul organizaiei si memorat pe smartcard, iar utilizatorul se logheaz in reea pe baza smartcardului si a codului PIN asociat. Serverul emitent al certificatului verific autenticitatea acestuia si permite sau respinge accesul in reea. In acest fel se elimin necesitatea folosirii numelor de utilizator si parolelor cu toate dezavantajele legate de folosirea lor. Riscurile generate de furtul sau pierderea parolelor dispar. O alt soluie avansat de acces n reele este folosirea de tokenuri si parole de unic utilizare. Utilizatorul folosete tokenul care genereaz o parola de unica utilizare i obine acces la distan in reeaua informatica. Certificatul digital + PIN sau Token + Parola OTP conduc la o autentificare riguroas Evoluia tehnologic permite ca unele tokenuri s posede i spaiu de memorare, securizat la rndul acestuia. Aceste dispozitive prezint o combinaie de faciliti de tip smartcard, token, memorie flash cu conectare prin USB. Un astfel de produs este Gemalto Smart Enterprise Guardian (SEG) (figura 43) care ofer 3 faciliti ntr-un singur token USB:

Microcip incorporat pentru accesul securizat la reea pe baza de certificate digitale (PKI) Generator OTP pentru accesul la aplicaii pe baza OTP Spaiu de stocare si criptare a datelor de 2 sau 4 GB

Accesul fizic in cldiri sau ncperi

Pentru accesul securizat in reea i totodat i pentru accesul fizic in cldiri si birouri se folosesc caz smartcarduri hibride. Fiecare card conine dou cipuri, unul pentru accesul in reea si unul pentru accesul fizic. Cardul de acces in incint se i imprim cu fotografia i datele personale ale persoanei autorizate pentru un eventual control clasic cu mijloace clasice.

Accesul la distan in reelele informatice

Odat folosit pentru accesul fizic cardul este folosit mai departe
Figura 11 Card de acces in incint

pentru accesul la calculatorul propriu si reea. In afara organizaiei cardul este folosit pentru accesul la distanta la reeaua

organizaiei prin VPN. In cazul accesului prin Internet este necesara realizarea unui tunel virtual securizat VPN si apoi accesarea prin una din cele 2 metode . La folosirea de smartcarduri nu se transmite identificatorul si parola eliminndu-se astfel interceptarea lor, chiar i de ctre keyloggere. In cazul tokenurilor se poate ca parola sa fie interceptat, dar ea nu poate fi folosit fiind de unica utilizare. 23

Alte aspecte privind accesul la distan prin Internet sunt discutate in alt capitol. Viitorul smartcardurilor se pare ca ne va rezerva surprize plcute, noua tehnologie48 va elimina nevoia de a folosi VPN i oricare persoana aflat acas sau oriunde in lume se va putea loga direct la intranetul companiei doar cu smartcard-ul. Practic, o simpla logare securizata pe laptop cu smartcardul si o conexiune internet vor permite accesarea intranetului companiilor in mod direct si securizat de oriunde din lume.

ASIGURAREA SECURITII REELELOR INFORMATICE

Dezvoltarea permanent a reelelor informatice aduce n organizaii necesitatea asigurrii securitii acestora ca rezultat a unor politici bine definite. Au fost elaborate standarde de securitate i organisme de audit i certificare.

Standardul ISO 27001

Standardul a fost elaborat n 2005 de organizaia internaional de standarde ISO, n colaborare cu Comisia Electrotehnic Internaional. Conform standardului se stabilesc regulile de baz pentru msurile de baz care s fie luate pentru asigurarea securitii. ISO 27001 acoper nu numai infrastructura IT, ct i securitatea informaiei. Certificarea conform ISO/IEC 27001 se face n urma unei auditri n 3 etape:

Etapa 1 prevede examinarea existenei documentaiei principale de securitate a reelelor printre care politicile de securitate, proceduri de aplicare i planul de tratate a riscurilor

Etapa 2 conine auditarea detaliat a existenei controalelor de securitate prevzute n documentaie

Etapa 3 care re-evalueaz periodic ulterior auditul i implementarea msurilor stabilite cu ocazia etapelor anterioare

Securitatea fizic a datelor

Dependena de tehnologiile digitale este deja foarte mare. S ne gndim numai la exemplul simplu al opririi facturrii ntr-o firm, ca s nu mai vorbim de sisteme naionale cum sunt cele de asigurri medicale sau pensii. i totui defeciuni apar permanent. Ne putem ntreba cum se previn, cum se repar defeciunile, n ct timp ? Pericolele pentru sistem sunt accidentale sau sunt provocate
Figura 12 Riscuri fizice pentru sistemele digitale

de om (virui, atacuri, furturi, etc.). Securitate de 100% a

48

Microsoft DirectAccess

24

datelor nu exist ! Este necesar contientizarea pericolului i diminuarea riscului de oprire a funcionrii sistemelor informatice. Despre meninerea confidenialitii informaiei, asigurarea integritii i siguranei n exploatarea datelor, a disponibilitii acestora s-a discutat deja. Dar apar frecvent dezastre naturale. Se pune normal ntrebarea dac rezist sistemele, unde sunt fiierele vitale, dac exist soluii de rezerv (back-up) ? Sunt supuse la riscuri i echipamentele i datele i aplicaiile.

Riscuri pentru echipamente

Daune fizice sunt aduse echipamentelor de cauze naturale, probleme ale alimentrii cu energie i vandalism. Printre cauzele naturale putem aminti inundaiile, cutremurele, incendiile, fulgerele, tornadele, radiaiile, pagubele produse de animale sau insecte. Alimentarea cu energie electric se poate ntrerupe total sau parial, pot aprea supratensiuni. Aciunile umane pot fi de vandalism cu distrugere intenionat sau accidental sau furturi. Figura 46 ilustreaz frecvena riscurilor fizice pentru echipamente. Reducerea riscurilor privind cauzele naturale se face prin duplicare informaiei periodic, pe ct posibil automat (back-up), transportare datelor n centre separate, protejarea liniilor de comunicaii , etc. Regulatoarele de tensiune, sursele nentreruptibile de tip UPS49 sau surse de tensiune independente de reea sunt soluii pentru diminuarea riscurilor asociate cu alimentarea cu energie electric. Diminuarea riscurilor legate de aciuni fizice ale oamenilor se face prin controlul accesului i pstrarea echipamentelor n camere special amenajate.

Riscuri pentru date i aplicaii

Pericolele pentru date i aplicaii au cauze de regul umane: furt de informaie, alterare sau distrugere de date, malware, aciuni distructive ntmpltoare. Era digital simplific furtul, echivalentul informaiei pe tone de hrtie devine un simplu disc compact CD. Protecia se asigur prin controlul accesului i criptarea informaiei. Alterarea sau distrugerea datelor conduce
Figura 13 Riscuri pentru date i aplicaii

la pericol prin lipsa de aciune sau aciuni contrare cu

consum de resurse pentru corectarea situaiei. Riscurile date de malware sunt mari i au fost menionate n alt capitol. Aciunile distructive ntmpltoare au la baz instruirea necorespunztoare, nerespectarea procedurilor i erorile umane. Ele pot fi prevenite prin metode i proceduri de control, crearea de programe robuste i controlul introducerii datelor, realizarea unui grad de rezisten la aciuni nepotrivite, meniuri care determina introdu49

Uninterruptible Power Supply

25

cerea de date corecte, punerea unor limite de valori la programare, tranzacii atomizate, nregistrarea datelor n mai multe destinaii, etc. Operaia este complet cnd toate destinaiile sunt validate. Se implementeaz astfel un control tehnic de consisten, se poate face auditarea de conformitate, se poate stabili un set de proceduri pentru descoperirea neconcordanelor i se pot descoperi activitile ilegale sau neconforme cu regulile stabilite. O metod pentru prevenirea abuzurilor i fraudelor este separarea responsabilitilor ntre proiectantul de sistem i utilizatorul sistemului. Proiectantul este responsabili pentru crearea unui sistem de meniuri care permite autorizarea unor meniuri utilizator i module de program pentru ca utilizatorul sa creeze identificatori i parole. Responsabilitile utilizatorului sunt definirea de coduri de acces, parole i proceduri de acces.
Figura 14 Costul msurilor de securitate

Planuri de recuperarea a daunelor

Adoptarea de planuri de recuperare a daunelor micoreaz daunele care pot apare ca rezultat al riscurilor amintite. Ele sunt extrem de eficace atunci cnd din motive diverse au loc cderi sau atacuri asupra sistemelor. Din pcate, asemenea planuri se ntocmesc foarte rar.

Costul msurilor de securitate

Msurile de securitate au un cost care pare, de regul, mare pentru beneficiarii sistemelor i chiar este mare n funcie de nivelul de securitate dorit. Costul daunelor poteniale descrete ns n funcie de nivelul de securitate Ct = (C1xP1+ C2xP2++ CnxPn) unde Ct este costul daunelor poteniale, Ci costul i Pi probabilitatea de apariie a daunei i. Se poate determina un optim economic prin calcularea costului combinat al asigurrii securitii (figura 49).

Centre de date
Dependena de sisteme informatice critice a condus la necesitatea unor centre dotate corespunztor n care datele s fie asigurate contra pericolelor de alterare, distrugere, furt, etc. Ele pot deservi o organizaie sau mai multe. Centrele de date sunt dotate cu servere si memorii externe de mare capacitate, linii de comunicaii de date de mare capacitate si sigure. In plus ele sunt dotate cu sisteme de rcire si condiionare a aerului, conexiune separata la reeaua de curent electric, si sisteme de backup a alimentarii cu energie electrica. Serverele si echipamentele de comunicaie sunt alimentate prin UPS-uri, iar backup-ul general este asigurat de generatoare de 26

curent cu autonomie mare de funcionare (sute de ore). Accesul in incinta centrelor de date este securizat si monitorizat in permanen.

27

INDEX
Era digital 25

A F
Acces neautorizat 5, 11, 12, 13 Adleman, Leonard 17 Adware 9 Autoriti de certificare 20 Firesheep 11 Firewall 12, 13 Fiiere 19, 21 FTP 11

B
Backdoor 10 Baze de date 13

Furtul de identitate 11

H
Hackeri 11

C
Centre de date 26 Certificatul digital 19, 23 Chei de criptare 16, 17 Coduri 20, 26 Comunicaii mobile 3G 12 4G 12 Criptare 15, 16, 17, 21 Aspecte juridice 21 cu chei publice 17 cu chei simetrice 16 Cunotine 9 Cyberware 10

Hash algoritm 19 Hellman, Martin 19 http 2, 8

I
IBM 16 Informaie 4, 5, 10, 21, 25 Internet 2, 3, 4, 5, 6, 7, 8, 9, 15, 20, 23, 24 Intranet 2, 13 ISO 27001 24

K
Keyloggere 7, 8, 23

D L
Date 3, 4, 10, 12, 13, 14, 20, 25, 26, 27 DES 16 Diffie, B. Whitfield 19 Laptop 24

M E
Malware 9, 12, 25 eBusiness 2, 3

28

Microsoft 10, 24

POS 7 Sisteme

N
NSA 16 Nume de identificare 4

de detectare a intruziunilor 13 Sisteme informatice dependena 26 Smartcard 23, 24 Software 6, 8, 9, 12, 13, 21 Spyware 10

P
Parole 4, 5, 6, 7, 8, 9, 10, 13, 21, 22, 23, 26 de unic utilizare 7 recuperare 8 Penetrarea reelelor 9 Perturbarea serviciului 10 PGP 21 PKI 18, 20, 23 Proxy 13

SSL 19 SUA 11, 16, 20, 21, 22

T
Tastaturi web 8 Tehnici de atac 11 Token 23 Troian 10 Twitter 12

R U
Riscuri pentru date 25 pentru echipamente 25 Rivest, Ronald 17 Romnia 11, 20, 21, 22 Rootkit 10 RSA 17, 18, 19, 20 Virui informatici 4, 9, 10, 24 VPN 23, 24 UPS 25, 26

S
Securitate a informaiei 2 a reelelor informatice 1 Securizarea accesului 4 Semntura electronic 18 Shamir, Adi 17 SIM

W
Web 8, 9, 11 Wi-Fi 10, 11

Z
Zimermann, Phil 21

Securitatea retelelor 2011

29