Documente Academic
Documente Profesional
Documente Cultură
CONTINUT
Securitatea reelelor informatice .............1
10
Tehnici
de
protecie
mpotriva
acceselor
neautorizate ..................................................... 12
Criptarea ............................................................15
Criptanaliza ......................................................15
RSA........................................................................17
Anti-keylogging software..............................8
16
informaii ..........................................................19
Virui informatici..............................................9
Adware...................................................................9
Backdoor............................................................ 10
certificare? ........................................................20
PGP ...................................................................... 21
Rootkit ................................................................ 10
23
Index ................................................................ 28
Tehnologiile informaiei i comunicaiilor produc ample schimbri n organizaii. Reelele de calculatoare folosesc tehnologiile Internet, larg diseminate i cunoscute i uor de asimilat. ntreaga activitate a organizaiei se
construiete n jurul intranet i este dependent de acesta.
O nou economie s-a nscut i transform economia existent. Schimbarea afecteaz toate domeniile i toate
ntreprinderile. Fenomenul Internet joac un rol central n aceast transformare, punnd la dispoziie pe scar
larg resursele informaionale. Dac electricitii i-a trebuit un secol pentru a ptrunde n ntreaga lume, reelele Internet sunt astzi folosite de peste 2 miliarde de oameni1 i aplicaiile lor economice, n special platformele
de afaceri electronice2, se rspndesc rapid cursa nefiind nc ncheiat. A fost construit o nou infrastructur
tehnic. Industriile legate de tehnologiile informaiei i comunicaiilor creeaz locuri de munc ntr-un ritm mai
rapid dect celelalte industrii. Tehnologiile informaiei i comunicaiilor reprezint azi principalul instrument
pentru folosirea eficient pe scar larg a informaiei n organizaii i societate. Ele produc schimbri n organizaie i n viaa de zi cu zi.
n acest context, problemele legate de securitate sunt importante att pentru accesul la Internet ct i pentru
intranet. De exemplu, tehnologia specific afacerilor electronice a dat firmelor posibilitatea de a pune informaii
din ce n ce mai variate la dispoziia clienilor, ceea ce
poate genera ns riscuri sporite legate de folosirea ruintenionat a acestor informaii. Este foarte important
s ne asigurm c utilizatorii au acces la informaiile de
care au nevoie, dar nu i la informaiile sensibile privind
companiile, care trebuie s le rmn inaccesibile. O
bun securitate a informaiei
Protejeaz informaia i prestigiul orga-
nizaiei
Stimuleaz afacerile
1
2
Se poate pune urmtoarea ntrebare: dac dorim s protejm ntr-adevr reeaua privat a companiei, de ce s
permitem unei reele de domeniu public, precum Internet, s o acceseze? Rspunsul este foarte simplu: organizaiile att private ct i publice se bazeaz foarte mult pe Internet pentru a se face cunoscute i a acumula informaii. Avnd n vedere dezvoltarea exponenial pe care au cunoscut-o afacerile electronice de tip eBusiness,
organizaiile care doresc s supravieuiasc trebuie s vin n ntmpinarea beneficiarilor prin oferte de produse i servicii. Pe lng vnzarea acestora, companiile trebuie s i protejeze clienii, prin asigurarea integritii
produselor vndute, dar n acelai timp s se protejeze pe ele nsele de atacuri intenionate sau nu care ar putea
veni din exterior.
Mediul de afaceri i nu numai acesta impune o siguran n funcionare apropiat de 100%. Pericolele de afectare a infrastructurii sunt ns foarte mari, complexe i cu caracter distructiv, ceea
ce impune organizaiilor adoptarea de msuri de PREVENIRE, DETECTARE i RSPUNS la atacuri sau incidente.
autentificarea: identitatea participanilor la tranzacii trebuie s fie cunoscut, adic destinatarul trebuie s fie sigur de identitatea expeditorului
nerepudierea: expeditorul i destinatarul s nu poat ulterior nega expedierea, respectiv primirea mesajului; nerepudierea se asigur prin semntur digital sau electronic
La care se adaug sigurana: mecanismele de securitate trebuie s fie robuste i corect implementate. Asigurarea confidenialitii este o problem important pe care o ridic securizarea bazelor de date i a tranzaciilor
n reele. Identificarea i autentificarea sunt problemele din cele mai importante pe care la ridic validarea participanilor la o tranzacie. Corolarul unei autentificri puternice este dovada originii participanilor la tranzacii. Asigurarea autentificrii se face prin mecanisme bazate pe chei publice i pe semnturi digitale.
controlul accesului, i
Privacy
Password
De aceea, sistemele moderne de acces tind s foloseasc procedee biometrice cum sunt recunoaterea amprentei, a feei sau vocii persoanei respective sau utilizarea de smartcarduri care conin semntura electronic a
persoanei care acceseaz sistemul.
n sistemele interne de organizaie utilizatorii sunt adesea deranjai de necesitatea introducerii repetate a parolelor de acces i caut metode de simplificare a accesului care au ca rezultat
sporirea vulnerabilitii sistemului.
Rolul parolei
Identificatorul nu este o informaie privat i adesea este cunoscut de ctre un numr mare de persoane. Parola
este n schimb o parte vital a securitii unei reele. Aflarea parolei permite accesul la informaia confidenial
a organizaiei, permite nu numai citirea dar i modificarea sau tergerea informaiei. Mai mult aflarea parolei
permite accesul unor persoane neautorizate n reea. De aceea este o cerin standard ca orice cont s aib o
parol bun i toate persoanele din organizaie s ia msuri pentru protejarea prin parole corespunztoare
staiile de lucru i aplicaiile la care au acces.
Alegerea parolei
Accesul la reele i n special al Internet se face mpreun cu un numr extrem de mare de alte persoane printre
care se afl i multe care ar dori s aib acces neautorizat la informaia protejat. Chiar i corespondena prin
pot electronic este protejat ns numai prin acest mecanism simplu de identificator i parol. Toate aceste
practici conduc la scderea considerabil a securitii datelor i creterea riscurilor de penetrare de ctre utilizatori neautorizai.
Parolele trebuie s fie greu de ghicit i uor de reamintit de ctre utilizatorul autorizat. Multe aplicaii informatice posibilitatea folosirii unei ntrebri sau a unui cuvnt cheie pentru a-i aminti parola8.
Parolele nu trebuie:
S fie prea scurte, timpul de spargere crete exponenial cu numrul de caractere n parol
S conin informaie uor de obinut despre utilizator (data naterii, codul numeric personal,
adresa de domiciliu, numere de telefon, numele soului/soiei, numele copiilor, numrul de nregistrare sau marca autoturismului, etc.)
S foloseasc abrevieri des folosite i cuvinte des folosite cum ar fi 1234(56), 000000, admin,
abcdef, nume de actori preferai, melodii, mrci de autoturisme, etc.
S nu foloseasc identificatorul de nume n niciun fel, nici inversat, nici cu litere mari sau mici,
nici cu prefix sau sufix.
Ca de exemplu numele de familie al mamei sau alte informaii de natur personal mai greu de aflat de ctre alte persoane
S fie o combinaie de cifre, litere i semne de punctuaie admise ct mai greu de legat de persoana respectiv
S fie pstrate confidenial, de exemplu s nu fie tiprite n clar pe foi de hrtie aflate n apropierea terminalului
S nu conin un algoritm care odat ghicit compromite toate parolele ca de exemplu substituia
de litere conform codului lui Cezar descris mai jos
Parolele se uit frecvent. De aceea multe persoane aleg calea simpl a folosirii parolei standard
oferite de sistem sau a numelui de identificare. n alte cazuri se folosesc parole simple cum ar fi
numele sau prenumele utilizatorului, data naterii, numele firmei, etc. sau parole prea scurte.
Exemple de modaliti de alegere a parolei :
Se poate alege un vers sau dou dintr-o poezie cunoscut de persoana respectiv, dar scris cu
litere mari mici i adugnd erori de ortografie cunoscute numai de autorul parolei
Alegei o ntmplare din trecutul ndeprtat si extragei o parola creat pe baza regulilor de mai
sus
Alegei succesiuni de consoane i vocale uor de pronunat, dar fr sens pentru alii
Folosii mai multe cuvinte scurte cu intercalare de cifre sau semne de punctuaie
ncredinarea pe termen limitat a parolei unei alte persoane care poate afla astfel modul general
de stabilire al parolelor de ctre titular
Introducerea accidental a parolei n locul sau n continuarea identificatorului, caz n care rmne n log-urile sistemului
Deducerea parolei printr-un program care ncearc permutri i combinaii de caractere, procedur eficient la parole scurte9
Interceptarea parolei prin software specializat sa rein clapele tastate (n special la folosirea altor staii de lucru, de exemplu n Internet-Cafe)
Echipamente keylogger
Echipamente de interceptare sunt instalate ntre tastatur i calculator fr a fi vizibile sau simplu de detectat.
Un caz particular sunt dispozitivele ataate la bancomate, care par a face parte din echipamentul de baz i prin
care infractorii intercepteaz PIN-ul cardurilor bancare..
Keyloggere acustice
Exist echipamente complexe care pot determina prin sunetele emise pe cele caracteristice anumitor clape.
Metoda este mai puin folosit, necesitnd studii statistice i analiz de frecven.
Emisii electromagnetice
Emisiile electromagnetice ale unei tastaturi pot fi detectate prin radio pn la 15-20 m.
Supraveghere optic
Camerele de luat vederi discret plasate pot captura parolele i alte informaii. Metoda este folosit de infractori
pentru interceptarea PIN-urilor cardurilor bancare la bancomate i uneori la POS-uri plasate n medii nesigure.
10
11
12
Accesul prin token este categorisit ca autentificare puternic13. Utilizatorul acceseaz token-ul avnd de introdus un PIN. Apoi in funcie de soluia sistemului fie citete o parol numeric de pe token i o introduce n
calculator (cazul Numai rspuns), fie primete o parola de la calculator, o introduce n token, primete o alt
parol pe care o introduce n calculator. n ambele cazuri parola de acces la sistem se folosete o singur dat i
expir dac nu este folosit o perioad scurt de timp. Parola de unica utilizare se mai numete OTP14. Pentru
sisteme mai complexe se folosesc i dispozitive mai sofisticate care au posibilitatea de a fi blocate/deblocate cu
smartcarduri.
Tastaturi web
Tastaturile web bazate pe scripturi ofer o protecie mai bun contra interceptrii. Sunt folosite din ce n ce mai
mult de ctre bnci.
Anti-keylogging software
Exist i aplicaii anti-keylogging care se bazeaz pe analiza semnturii unor keyloggere cunoscute. Ca i n cazul aplicaiilor anti-virus, protecia este asigurat numai la keyloggerele cunoscute.
Recuperarea parolelor
O serie de aplicaii disponibile comercial recupereaz parolele uitate15. Operaia se mai numete i spargere16
de parole, deoarece nimeni nu garanteaz c persoana care recupereaz parola este cea ndreptit s o fac.
Astfel de produse permit recuperarea/spargerea
parolelor pentru marea majoritate a aplicaiilor
existente pe un calculator personal. Soluia este
folosirea de parole cat mai lungi si cu folosirea de
litere, cifre si semne speciale.
Fiierele de tip Office indiferent de productorul
suitei Office sunt cele mai vulnerabile la acest gen
Figura 3 Tastatura afiat pe ecran
lei fiind disponibile pe Internet la preuri modeste sau chiar n variante mai puin puternice gratuit.
13
Strong authentication
14
15
16
Crack
Schimbarea parolelor
Parolele trebuie schimbate frecvent. Chiar dac parola este bun, ea poate fi descoperit ntmpltor sau intenionat n situaiile prezentate mai sus ca pericole. Parolele trebuie schimbate ori de cte ori exist suspiciunea
unui pericol, la ntoarcerea din cltorii i periodic, de exemplu la fiecare nceput de an.
PENETRAREA REELELOR
Principalele consecine ale accesului persoanelor neautorizate sunt infectarea reelei i a calculatoarelor acesteia cu malware i atacuri de tip oprirea serviciilor17.
Malware
Un termen nou folosit pentru acele programe care se infiltreaz sau deterioreaz un sistem este de malware18.
Prin malware se neleg nu numai diverii virui de tip Troian, backdoor sau de root, dar i malware creat pentru ctig financiar spyware, botnets, loggers i dialers.
Pe msur ce se perfecioneaz tehnicile anti-malware apar noi i noi forme de programe de acest tip. Instalarea de software anti-malware este recomandat, dar nu garanteaz protecie absolut. Din ce n ce mai mult
este necesar educarea utilizatorilor de e-mail i celor ce navigheaz pe web, principalele ci de transmisie a
malware, pentru a recunoate i nu deschide mesaje sau situri purttoare de virus.
Virui informatici
Viruii sunt programe care se infiltreaz n calculatoarele int cu efecte nedorite. Printre efecte se pot enumera
autoreplicarea, infectarea altor programe, modificarea mediului de lucru. Nu este obiectivul acestui capitol s
detalieze subiectul, dar s reinem c ei se transmit prin canalele de acces n sisteme, se deghizeaz n programe proprii sistemului i au aciune imediat sau ntrziat.
Adware
Ca adware19 numim programele care afieaz cadre care apar peste imaginea de baz (pop-up) i conin o reclam la un produs sau serviciu. Ele deranjeaz de obicei utilizatorul i majoritatea navigatoarelor Internet
permite anularea apariiei lor.
17
Denial of service
18
19
Backdoor
Ca backdoor numim programele care se infiltreaz n calculatoare i acceseaz resursele acestora sau a reelelor din care fac parte. Uneori sunt generate backdoor-uri n scopuri utile pentru a permite utilizarea unor aplicaii.
Rootkit
Un rootkit21 este un set de instrumente care sunt folosite de un atacator pentru a obine privilegii de administrator i a obine informaii despre sistem sau a-l modifica.
Diverse studii arat c scopul principal al atacurilor cu virui este ctigul financiar prin culegerea de date i posibil aciuni de antaj ulterioare. Numai n prima jumtate a anului 2006 au
aprut 43 mii noi virui de tip troian22. O surs major de virui au devenit comunicaiile wireless de tip Wi-Fi.
Perturbarea serviciului
Atacatorii inund serverul cu mesaje false folosind adrese IP false pentru a bloca reeaua i mpiedica mesajele
utile s ptrund n sistem. Fenomenul este greu de stpnit deoarece mesajele sunt transmise din calculatoare
care nu aparin atacatorilor prin metode de folosire a acestora ca releu fr cunotina proprietarilor de drept..
20
21
22
Sursa: Microsoft
10
Hackeri i crackeri
Termenul cel mai cunoscut pentru persoanele care penetreaz sau atac sistemele informatice este acela de
hacker23, dei la nceput hacker era numele sub care era cunoscut un programator amator. Hackerii susin c
sensul peiorativ nu-i avantajeaz i consider c personajul negativ trebuie s fie numit cracker24.
Colectarea informaiei despre inta atacului; de exemplu nume de domeniu, adrese IP, adrese fizice, informaii financiare, etc.
Identificarea serviciilor publice oferite de int; servere web, FTP, e-mail, etc. De obicei se scaneaz porturile pentru a vedea care sunt deschise
Studierea vulnerabilitilor intei i se constat care sunt configuraiile defectuoase, cele tip, etc.
Utilizarea accesului obinut, hackerul devenind utilizator cu drepturi depline i aparent autorizat
Furtul de identitate
Identitatea nu poate fi furat, ea poate fi ns fals asumat, dar termenul de furt este des folosit pentru situaiile
n care o persoan sau organizaie pretinde a fi altcineva dect este n realitate cu scopul de a obine acces la
anumite resurse n numele acelei persoane. Aa cum n lumea fizic aceast asumare fals de identitate este cel
mai des infraciune i n lumea virtual consecinele sunt aceleai, legile fiind adaptate s pedepseasc i falsa
identitate digital.
Furtul de identitate poate avea scopuri comerciale sau financiar-bancare, judiciare, medicale, etc. Printre cazurile aparent banale, dar extrem de rspndite, se numr folosirea adresei de email a altei persoane prin furtul
parolei de acces si crearea unei pagini pe Facebook sau a unui blog pe numele altei persoane dect cea real.
Muli consider tentativa de a accesa emailul unor rude sau cunoscui ca un fapt benign. n realitate este nclcare a legii. n anii 2010-2011 mass-media din Romnia a relatat nceperea urmririi penale pentru o persoan care a accesat ilegal emailul soiei disprute de la domiciliu.
23
Probabil c traducerea cea mai apropiat n limba romn este aceea de cioplitor.
24
Sprgtor
25
26
11
spionat. Interceptarea se produce i n reelele Wi-Fi protejate cu parol, deoarece interceptorul pentru a avea
acces a primit sau cumprat i el parola. Larga rspndire a Facebook i Twitter face ca acest gen de furt lateral
s devin foarte rspndit i periculos. Se recomand folosirea cu grij a reelelor Wi-Fi, mai ales cele publice,
din hoteluri, aeroporturi, restaurante, etc. Pe ct posibil accesul 3G sau 4G este de preferat accesului Wi-Fi.
cu numrul de actualizri).
Sisteme firewall
Asigurarea confidenialitii i integritii datelor este una dintre destinaiile unui sistem firewall. Un firewall
are dou roluri fundamentale:
control al accesului: Este posibil ca unele servere s fie vizibile din reele publice, n timp ce altele nu. Alocarea drepturilor de acces depinde de necesiti, dar i de riscurile pe care doreti s i
le asumi. Un exemplu de server care trebuie s fie accesibil din exterior este serverul de pota
electronic. Ca regul general, se recomand ca niciodat s nu se ofere unor servere sau servicii drepturi de acces mai mari dect au nevoie, pentru a nu oferi hackerilor puncte suplimentare
de intrare n sistem.
27
12
asigurarea caracterului privat al reelelor companiilor: se refer tocmai la asigurarea confidenialitii datelor existente n cadrul intranet-ului unei companii.
Un firewall blocheaz informaiile care nu sunt solicitate prin caracteristicile i setarea reelei i ascunde structura reelei transmind mesajele acesteia ca fiind originare din firewall. De asemenea. n multe cazuri un
firewall verific mesajele de intrare pentru a le accepta numai pe cele din surse autorizate i scaneaz intrrile
pentru eliminarea hackerilor cunoscui.
Complexitatea unui firewall poate merge de la o simpl filtrare de pachete pn la controlarea accesului la aplicaii sau servere proxy28. Un firewall de aplicaii se numete adesea gateway29.
Un firewall poate fi instalat ca un sistem software, dar i ca un echipament cu software specializat. Un firewall
sofisticat asigur o securitate mare, dar cost mai mult. Este necesar o balanare a avantajelor fa de costurile
implicate.
detectarea de anomalii prin monitorizarea funcionrii normale i semnalarea ulterioar a baterilor de la comportamentul normal.
Ambele metode au avantajele i dezavantajele lor. Recunoaterea tehnicilor de intruziune nu este eficient la
noi tehnici ce pot apare, iar monitorizarea activitii normale poate nsemna i includerea unui atac nedetectat
n situaia considerat normal.
Majoritatea atacurilor provin din interiorul organizaiei! Schimbai periodic procedurile de acces la date i n mod obligatoriu la plecarea unor persoane cheie cu acces la baze de date cu coninut sensibil
28
Un server proxy intercepteaz toate mesajele care intr i ies din reea i ascunde adresele reale ale calculatoarelor din reea
29
Poart de intrare
30
13
Pentru siguran mai mare atunci cnd este necesar, folosii tehnici de criptare!
Indiferent de puterea algoritmului de criptare folosit este necesar s fie folosite i alte msuri de
protecie a informaiei, implicnd metode de vigilen i supraveghere
14
Criptanaliza
Criptanaliza este tehnica analizei i descifrrii comunicrii criptate. Stpnit de un numr limitat de specialiti,
criptanaliza este folosit cu precdere de instituii guvernamentale pentru asigurarea proteciei naionale i
internaionale. Criptanaliza este folosit pentru descifrarea mesajelor criptografiei puternice, cele slabe fiind
prea simple pentru specialitii domeniului. n lupta ntre criptografi i criptanaliti nu exist dect nvingtori
temporari, progresele tehnologiei informaiei putnd face o metod de criptare impenetrabil azi, descifrabil
n viitor. Nu trebuie confundat criptanaliza care necesit i importante resurse de tehnic specializat cu fenomenul activitii hackerilor despre care se va discuta n alt parte.
31
Cnd criptarea avea ca mediu principal de transmitere a mesajelor forma scris denumirea preferat era aceea de criptografie
32
33
34
35
36
16
ce toate combinaiile posibile de chei pentru a citi sau altera mesajul. Schimbul de chei este o procedur care
creeaz mari dificulti i permite apariia a numeroase elemente de vulnerabilitate. Schimbul sigur de chei
secrete este inoperabil n reele mari, fiind imposibil de pstrat secretul cheii atunci cnd numrul participanilor este ct de ct mare i nu poate fi conceput fr ca persoanele participante la schimbul de mesaje s se fi
ntlnit n prealabil. Criptarea convenional nu permite, de asemenea, autentificarea participanilor la tranzacii. O cheie furat permite simplu substituirea expeditorului.
una public. Este imposibil de dedus prin calcul cheia secret din cea public. Cu cheia public a unei persoane
oricine poate cripta un mesaj, dar numai persoana respectiv folosind cheia sa secret l poate descifra. Pe aceste baze teoretice au fost elaborate mai multe sisteme criptografice cu chei publice printre care RSA, Elgamal i
DSA.
RSA
RSA37 a fost inventat n 1977 de ctre un grup de profesori de la MIT ca un sistem criptografic cu chei publice
de tip PK38. n locul folosirii unei chei unice pentru criptare i decriptare, RSA folosete o pereche de chei una
public i una privat(secret) folosite n procesul schimbului informaiei secrete. Cheile se calculeaz dup
algoritmul prezentat mai sus. Fiecare cheie produce o transformare univoc a informaiei. Cheile din pereche
au roluri complementare, efectul produs de una din ele este anihilat numai de cealalt.
Metoda const n folosirea unei funcii unidirecionale, care este uor de calculat, dar extrem de
greu de inversat. Funcia Diffie-Hellman este bazat pe exponeniere modular; fiind dat un numr prim p i numerele a i x mai mici dect p, se calculeaz y = ax mod (p) care se folosete
37
38
17
drept cheie. Se poate demonstra matematic c dac determinarea lui y se face extrem de uor,
operaia invers de determinare a lui x cunoscnd a, p i y dureaz de un timp calculat la puterea
p. Astfel dac p este un numr prim cu 1000 cifre, raportul timpilor este 21000. Numerele a i p
sunt standardizate i publice.
Cheia public RSA este fcut disponibil public de posesor, n timp ce cheia lui privat este inut secret. Pentru a trimite un mesaj secretizat, expeditorul cripteaz mesajul cu cheia public a destinatarului. Un astfel de
mesaj poate fi descifrat numai cu cheia privat (secret) a destinatarului.
D decripteaz mesajul cu cheia lui secret care este univoc corelat cu cheia sa public folosit
de E
Protocoalele de securitate sunt n realitate mai complexe, dar n principiu sunt respectate aceste 3 etape. Succesul comunicrii cu chei publice este determinat de imposibilitatea decriptrii cheii secrete n timp rezonabil.
Pentru chei de 1024 bii cu tehnologia actual ar fi necesari dup unii autori 1010 ani.
Totui, comunicarea prin criptografie cu chei publice funcioneaz corect dac se respect dou condiii:
Cheia secret rmne cu adevrat secret i nu este furat din calculatorul unde este instalat;
furtul este prevenit prin criptarea puternic la rndul ei a cheii secrete
39
18
printr-un algoritm de amestec (hash40) similar celui descris i propus tot de Diffie i Hellman. Rezult astfel un
amestec al mesajului, care criptat cu cheia privat a expeditorului devine semntura sa electronic sau digital.
Semntura digital poate fi decriptat numai cu cheia public a aceluiai expeditor. Destinatarul prelucreaz
semntura digital primit i recalculeaz amestecul (hash) mesajului. Valoarea acestei amprente este comparat cu amprenta aflat din semntur. Dac valorile coincid mesajul este original. Deoarece verificarea semnturii s-a fcut cu cheia public a expeditorului i textul a fost semnat cu cheia lui privat cunoscut numai de el,
n acest fel se asigur o autentificare performant. Este imposibil ca altcineva s fi generat semntura deoarece
ea se bazeaz pe cheia secret a expeditorului. Folosirea cheii secrete a expeditorului asigur i funcia de
nerepudiere, expeditorul neputnd nega paternitatea mesajului.
Certificatul digital
Utilizatorii de tehnologii RSA de regul anexeaz cheia lor public la un mesaj trimis. n acest fel destinatarul nu
este obligat s se adreseze unui depozitar de chei publice. Este ns probabil ca o cheie public, chiar la un depozitar, s nu aparin n fapt persoanei care este declarat ca posesor, deci poate apare un fals posesor de cheie care intercepteaz mesajele secrete. Evitarea acestei situaii se face cu un identificator digital sau certificat
care se nsereaz n cheia public a utilizatorului i garanteaz c expeditorul este persoana care pretinde c
este. Certificatul digital se emite de ctre o persoan sau organizaie de ncredere, cel mai des o Autoritate de
Certificare. Autoritatea trimite utilizatorului sistemului un certificat digital criptat suplimentar cu cheia autoritii respective. Cnd utilizatorul transmite un mesaj ataeaz acest certificat digital. Destinatarul verific cu
acest certificat cheia public a expeditorului i apoi folosete cheia public pentru decriptare. Cu folosirea de
certificate digitale lanul de autentificare se simplific, nefiind nevoie de publicat dect cheia public a Autoritii de Certificare. Utilizatorii transmit mesaje cu certificatul digital propriu i cheia public a destinatarului.
Figura 7 Smartcard
40
Mrunire, amestec
41
19
Autoriti de certificare
Emiterea de certificate digitale se bazeaz pe ncredere. Autoritile de certificare sunt organizaii n care persoanele care schimb mesaje au ncredere, fiind numite uneori i Autoriti de ncredere TA42. Acestea emit
certificatele unor persoane verificabile ca identitate. Verificarea identitii se face prin mai multe metode.
Astfel de organizaii recunoscute care emite certificate digitale sunt n SUA
VeriSign, Entrust, Cybertrust, RSA. Prin clicarea icoanei din figura 42 postat pe un
site se poate afla de exemplu validitatea certificrii de ctre VeriSign cu informaii
privind certificatul i validitatea lui. Un certificat expirat nu nseamn neaprat c
Figura 8 Eticheta VeriSign
posesorul certificatului nu mai este de ncredere43, dar riscul unui schimb de mesaje cu acesta este ridicat.. Transmiterea de date confideniale unor situri necunoscute se va face numai dac
sunt certificate de o autoritate de certificare reputat. Autoritile de certificare sunt la rndul lor certificate de
o autoritate public sau de una n care participanii au ncredere.
Emiterea de certificate digitale i serviciile de infrastructur PKI au devenit una din afacerile de
anvergur ale Economiei Digitale. Principalul domeniu este comerul electronic n care participanii trimit informaii confideniale prin Internet cum sunt datele card-urilor personale sau informaii privind afacerile derulate.
n Romnia mai multe firme pot emite certificate, pentru emiterea de certificate recunoscute n relaia cu instituii publice fiind necesar autorizarea acestora. Alte autoriti de certificare pot fi garantate de autoriti publice sau private ca de exemplu bnci.
42
43
Trust Authorities
Uneori firmele sau persoanele posesoare de certificat uit s-l rennoiasc
20
PGP
PGP44 este un software de criptare care permite schimbul de mesaje sau documente criptate cu chei de lungime
1024/2048 bii. Produsul este disponibil fr plat45 pentru aplicaii necomerciale i neguvernamentale.
Sistemul genereaz perechea clasic de chei privat i public i o parol necesar numai accesului la mesaje
criptate pe calculatorul propriu. Cheile publice se schimb ntre utilizatori.
Un mesaj e-mail sau un fiier destinat unei anumite persoane se cripteaz cu cheia public a acelei persoane i
numai acea persoan poate decripta mesajul. Dac se folosesc mai multe chei publice se poate lrgi aria de distribuie a mesajelor criptate. Exist i opiunea de semnare a mesajului/fiierului pentru autentificare.
Cu PGP se poate securiza informaii de pe discurile calculatorului criptndu-le cu cheia proprie i devenind
invulnerabile la produsele de recuperare/decodare a parolelor pentru produse cum sunt cel din MS Office.
PGP este un produs dezvoltat iniial de Phil Zimermann i a fcut obiectul unor prime controverse privind exportul neautorizat ale unui produs considerat strategic. Variantele care se pot utiliza n SUA i in afara SUA sunt
diferite.
44
45
46
HOTRRE nr. 7 din 8 ianuarie 2004 privind protecia juridic a serviciilor bazate pe acces condiionat sau constnd n accesul
condiionat, HOTRRE nr. 1173 din 2 octombrie 2003 privind atribuirea electronic i distribuirea autorizaiilor de transport rutier
internaional de marf, HOTRRE nr. 1085 din data de 11.09.2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind
unele msuri referitoare la implementarea Sistemului Electronic Naional, Ordonana nr. 73 din 28/08/2003 pentru modificarea i
completarea Ordonanei Guvernului nr. 20/2002 privind achiziiile publice prin licitaii electronice, LEGE nr. 304 din 4 iulie 2003 pentru serviciul universal i drepturile utilizatorilor cu privire la reelele i serviciile de comunicaii electronice, LEGE nr. 250 din 10 iunie
2003 pentru aprobarea Ordonanei de urgen a Guvernului nr. 193/2002 privind introducerea sistemelor moderne de plat, LEGE nr.
21
O dezbatere aprins a avut loc n SUA atunci cnd ageniile de securitate au solicitat depunerea n depozite protejate a unor chei de decriptare pentru uzul acestora n caz de necesitate. La protestele comunitii de afaceri o
astfel de legislaie nu a fost n final adoptat.
mite zone ale organizaiei. Parolele clasice si vulnerabile folosite in mod tradiional sunt in acest caz nlocuite
202 din 16 mai 2003 pentru aprobarea Ordonanei Guvernului nr. 19/2003 privind obligativitatea utilizrii sistemului electronic de
colectare a datelor statistice, LEGE nr. 161 din 19 aprilie 2003, privind msurile mpotriva corupiei, Ordonana de urgenta nr. 193 din
12 decembrie 2002 privind introducerea sistemelor moderne de plat, LEGE nr. 591 din 29 octombrie 2002 pentru aprobarea Ordonanei de urgen a Guvernului nr. 79/2002 privind cadrul general de reglementare a comunicaiilor, LEGE nr. 544 din 12 octombrie 2001
privind liberul acces la informaiile de interes public, LEGE nr. 365/2002 privind comerul electronic, LEGE nr. 291/2002 pentru aprobarea Ordonanei Guvernului nr. 24/2002 privind ncasarea prin mijloace electronice a impozitelor i taxelor locale, publicat n M.O. nr.
346 din data de 24 mai 2002, ORDONANA nr. 24 /2002 privind ncasarea prin mijloace electronice a impozitelor i taxelor locale, publicat n Monitorul Oficial nr. 81, din 1 februarie 2002,
publicat n Monitorul Oficial nr. 86 din 1 februarie 2002, HOTRRE DE GUVERN nr. 1259 din 13 decembrie 2001 privind aprobarea
Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semntura electronic, LEGE nr. 677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date, LEGE nr. 676 /2001 privind
prelucrarea datelor cu caracter personal i protecia vieii private n sectorul telecomunicaiilor, publicat n Monitorul Oficial nr. 800
din 14 decembrie 2001
47
Smart-card
22
de codul PIN si certificatul digital aflate pe smartcard. Vulnerabilitatea prin spargere sau furt al parolelor este
practic eliminata si se asigura la un alt nivel protecia resurselor interne al organizaiilor.
Microcip incorporat pentru accesul securizat la reea pe baza de certificate digitale (PKI)
pentru accesul la calculatorul propriu si reea. In afara organizaiei cardul este folosit pentru accesul la distanta la reeaua
organizaiei prin VPN. In cazul accesului prin Internet este necesara realizarea unui tunel virtual securizat VPN
si apoi accesarea prin una din cele 2 metode . La folosirea de smartcarduri nu se transmite identificatorul si
parola eliminndu-se astfel interceptarea lor, chiar i de ctre keyloggere. In cazul tokenurilor se poate ca parola sa fie interceptat, dar ea nu poate fi folosit fiind de unica utilizare.
23
Alte aspecte privind accesul la distan prin Internet sunt discutate in alt capitol. Viitorul smartcardurilor se
pare ca ne va rezerva surprize plcute, noua tehnologie48 va elimina nevoia de a folosi VPN i oricare persoana
aflat acas sau oriunde in lume se va putea loga direct la intranetul companiei doar cu smartcard-ul. Practic, o
simpla logare securizata pe laptop cu smartcardul si o conexiune internet vor permite accesarea intranetului
companiilor in mod direct si securizat de oriunde din lume.
Etapa 1 prevede examinarea existenei documentaiei principale de securitate a reelelor printre care politicile de securitate, proceduri de aplicare i planul de tratate a riscurilor
Etapa 3 care re-evalueaz periodic ulterior auditul i implementarea msurilor stabilite cu ocazia etapelor anterioare
48
Microsoft DirectAccess
24
datelor nu exist ! Este necesar contientizarea pericolului i diminuarea riscului de oprire a funcionrii sistemelor informatice. Despre meninerea confidenialitii informaiei, asigurarea integritii i siguranei n
exploatarea datelor, a disponibilitii acestora s-a discutat deja. Dar apar frecvent dezastre naturale. Se pune
normal ntrebarea dac rezist sistemele, unde sunt fiierele vitale, dac exist soluii de rezerv (back-up) ?
Sunt supuse la riscuri i echipamentele i datele i aplicaiile.
consum de resurse pentru corectarea situaiei. Riscurile date de malware sunt mari i au fost menionate n alt
capitol.
Aciunile distructive ntmpltoare au la baz instruirea necorespunztoare, nerespectarea procedurilor i erorile umane. Ele pot fi prevenite prin metode i proceduri de control, crearea de programe robuste i controlul
introducerii datelor, realizarea unui grad de rezisten la aciuni nepotrivite, meniuri care determina introdu49
25
cerea de date corecte, punerea unor limite de valori la programare, tranzacii atomizate, nregistrarea datelor
n mai multe destinaii, etc.
Operaia este complet cnd toate destinaiile sunt validate. Se implementeaz astfel un control tehnic de consisten, se poate face auditarea de conformitate, se poate stabili un set de proceduri pentru descoperirea neconcordanelor i se pot descoperi activitile ilegale sau neconforme cu regulile stabilite.
O metod pentru prevenirea abuzurilor i fraudelor este
separarea responsabilitilor ntre proiectantul de sistem i utilizatorul sistemului. Proiectantul este responsabili pentru crearea
unui sistem de meniuri care permite autorizarea unor meniuri
utilizator i module de program pentru ca utilizatorul sa creeze
identificatori i parole. Responsabilitile utilizatorului sunt definirea de coduri de acces, parole i proceduri de acces.
Figura 14 Costul msurilor de securitate
Adoptarea de planuri de recuperare a daunelor micoreaz daunele care pot apare ca rezultat al riscurilor
amintite. Ele sunt extrem de eficace atunci cnd din motive diverse au loc cderi sau atacuri asupra sistemelor.
Din pcate, asemenea planuri se ntocmesc foarte rar.
Centre de date
Dependena de sisteme informatice critice a condus la necesitatea unor centre dotate corespunztor n care
datele s fie asigurate contra pericolelor de alterare, distrugere, furt, etc. Ele pot deservi o organizaie sau mai
multe.
Centrele de date sunt dotate cu servere si memorii externe de mare capacitate, linii de comunicaii de date de
mare capacitate si sigure. In plus ele sunt dotate cu sisteme de rcire si condiionare a aerului, conexiune separata la reeaua de curent electric, si sisteme de backup a alimentarii cu energie electrica. Serverele si echipamentele de comunicaie sunt alimentate prin UPS-uri, iar backup-ul general este asigurat de generatoare de
26
curent cu autonomie mare de funcionare (sute de ore). Accesul in incinta centrelor de date este securizat si
monitorizat in permanen.
27
INDEX
Era digital 25
A
F
Acces neautorizat 5, 11, 12, 13
Adleman, Leonard 17
Firesheep 11
Adware 9
Firewall 12, 13
Autoriti de certificare 20
Fiiere 19, 21
FTP 11
Furtul de identitate 11
Backdoor 10
Baze de date 13
Hackeri 11
Hash
algoritm 19
Hellman, Martin 19
Centre de date 26
http 2, 8
Coduri 20, 26
Comunicaii mobile
3G 12
IBM 16
4G 12
Intranet 2, 13
cu chei publice 17
ISO 27001 24
cu chei simetrice 16
Cunotine 9
Cyberware 10
Keyloggere 7, 8, 23
D
L
Date 3, 4, 10, 12, 13, 14, 20, 25, 26, 27
DES 16
Laptop 24
Diffie, B. Whitfield 19
M
E
Malware 9, 12, 25
eBusiness 2, 3
28
Microsoft 10, 24
POS 7
Sisteme
de detectare a intruziunilor 13
Sisteme informatice
dependena 26
NSA 16
Smartcard 23, 24
Nume de identificare 4
SSL 19
SUA 11, 16, 20, 21, 22
recuperare 8
Penetrarea reelelor 9
Tastaturi web 8
Perturbarea serviciului 10
Tehnici de atac 11
PGP 21
Token 23
Troian 10
Proxy 13
Twitter 12
R
U
Riscuri
UPS 25, 26
pentru date 25
pentru echipamente 25
Rivest, Ronald 17
Romnia 11, 20, 21, 22
Rootkit 10
VPN 23, 24
Securitate
Web 8, 9, 11
a informaiei 2
Wi-Fi 10, 11
a reelelor informatice 1
Securizarea accesului 4
Semntura electronic 18
Shamir, Adi 17
Zimermann, Phil 21
SIM
29