Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

Ghidul de bune practici emis de Asociaia National pentru Securitatea Sistemelor Informatice ofer
recomandri necesare n vederea asigurrii unui nivel de securitate informatic eficient.
Ameninrile cibernetice nu se mai limiteaz n a viza doar reelele mari ale corporaiilor. Atacatorii au
neles c intele sunt mai vulnerabile atunci cnd utilizatorii lucreaz acas, unde, de obicei, msurile de
securitate sunt mai slabe. Utilizatorii trebuie s menin de asemenea un nivel corespunztor de
securitate i atunci cnd lucreaz acas, utiliznd Internetul.
Ghidul este structurat n patru capitole: recomandri pentru securitatea computerelor personale,
recomandri pentru securitatea reelelor personale, recomandri de securitate operaional i
comportament pe Internet, respectiv recomandri avansate de securitate.
I. Recomandri pentru securitatea computerelor personale

1. Migrai ctre sisteme de operare i platforme hardware moderne

Multe dintre caracteristicile de securitate ale acestor sisteme sunt acum activate implicit i pot preveni o
multitudine de atacuri des ntlnite. Mai mult, versiunile acestor sisteme de operare pe 64 de bii solicit
eforturi mai mari din partea unui atacator care ncearc s capete controlul unui computer.
O setare obligatorie, indiferent de sistemul de operare pe care l folosii, este de a activa mecanismele
automate de actualizare (update) ale sistemului de operare.
2. Instalai o soluie complet de software de securitate
O astfel de soluie trebuie s cuprind software anti-virus, anti-phishing i s aib capabiliti de tip
firewall i IPS, de prevenire a atacurilor i de navigare securizat. Aceste servicii, lucrnd conjugat pot
oferi o aprare stratificat mpotriva celor mai des ntlnite ameninri. Mai multe astfel de soluii ofer i
un serviciu care verific site-urile pe care le accesai, avnd un istoric al reputaiei domeniilor web care
au avut vreodat un rol n rspndirea de malware.
Nu uitai s activai orice serviciu automat de actualizare automat a acestor softuri pentru a v asigura
c folosii ultimele versiuni de semnturi ale programelor anti-malware.
3. Evitai pe ct posibil folosirea contului de administrator
Primul cont creat n mod implicit cnd este instalat sistemul de operare, este cel de administrator local.
Este necesar crearea unui cont de utilizator care s nu aib toate privilegiile specifice contului de
administrator. Acest cont va fi folosit pentru activitile uzuale, cum ar fi web-browsing, creare sau
editare de documente, acces la e-mail, etc. Contul de administrator ar trebui folosit numai atunci cnd se
fac actualizri de software sau cnd este necesar reconfigurarea sistemului. Navigarea pe web sau
accesul la e-mail folosind contul de administrator este riscant, dnd ocazia atacatorilor s preia
controlul asupra sistemului.
4. Utilizai browsere web cu capabiliti de tip Sandbox

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

n momentul de fa, exist cteva astfel de browsere, care, atunci cnd se execut un cod malware,
izoleaz acest cod de sistemul de operare, fcnd astfel imposibil exploatarea unei eventuale
vulnerabiliti a sistemului de operare. Majoritatea acestui gen de browsere au i capabilitatea de autoactualizare sau de notificare a utilizatorului atunci cnd apar versiuni noi.
Exist pe pia i abordri care mut navigarea pe web n ntregime pe maini virtuale, dar care nu au
nc maturitatea tehnologic necesar pentru a fi folosite de publicul larg.
5. Folosii numai programe cu capabiliti de Sandboxing pentru a citi fiierele de tip PDF
Capabilitatea de Sandboxing izoleaz de sistemul de operare orice cod malware coninut de fiierele
PDF. Aceste fiiere au devenit un vector de atac foarte des folosit, ele putnd conine, pe lang
informaia legitim, cod executabil. n prezent, exist cteva versiuni, att comerciale, ct i opensource, ale unor astfel de softuri ce au capabiliti de Sandboxing, ct i de blocare a linkurilor ctre
website-uri incluse n documentele n format PDF.
6. Folosii versiuni ale aplicaiilor de tip Office ct mai recente
n versiunile mai recente, formatul de stocare al documentelor este XML, un format care nu permite
executarea de cod la deschiderea unor documente, astfel protejnd utilizatorii de malware-ul ce
folosete ca mod de propagare astfel de documente. Unele din versiunile cele mai recente ofer o
facilitate de tip protected view, deschiznd documentele n modul read-only, astfel eliminnd o serie
de riscuri generate de un fiier infectat.
7. Actualizai-v software-ul
Majoritatea utilizatorilor nu au timpul sau rbdarea de a verifica dac aplicaiile instalate pe computer
sunt actualizate. De vreme ce exist multe aplicaii ce nu au capabiliti de auto-actualizare, atacatorii
vizeaz astfel de aplicaii ca mijloace de a prelua controlul asupra sistemului. Pe pia exist cteva
produse ce monitorizeaz software-ul instalat pe sistem i descoper care aplicaii au ajuns la sfritul
duratei ciclului de via sau au nevoie de actualizri, indicnd i locul de unde pot fi obinute actualizri
sau versiuni mai noi pentru respectivele aplicaii.
8. Criptai discurile laptop-urilor
Sistemele de operare recente ofer nativ capabilitatea de criptare a discurilor prin mecanisme proprii.
Pentru versiuni mai vechi, dar i pentru celelalte exist produse care implementeaz acest serviciu.
Astfel, putei evita accesul neautorizat la informaii confideniale, n caz c laptop-ul este pierdut sau
furat.
9. Actualizai-v sistemele de operare pentru dispozitivele mobile
Este recomandat s facei acest lucru atunci cnd apar versiuni noi i s verificai acest lucru periodic.
Suntei mult mai vulnerabili atunci cnd utilizai dispozitivele mobile (telefon, tableta, etc.) n timpul unor
cltorii,deoarece ameninrile sunt mai probabile n reelele publice din aeroporturi, gri, obiective
turistice etc.
10. Utilizai parole complexe
Ca o regul general, toate parolele asociate cu orice cont de utilizator ar trebui s aib cel puin 10
caractere i s fie complexe, n sensul de a include caractere speciale, cifre, litere mici i litere mari.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

II. Recomandri pentru securitatea reelelor personale

Reelele personale sunt reele informatice de mici dimensiuni utilizate cel mai adesea la domiciliu bazate
din ce n ce mai mult pe tehnologia wireless.
1. Designul reelei
De obicei, furnizorii de servicii Internet furnizeaz un dispozitiv de conectare la reeaua lor (un modem
de cablu, un modem ADSL, etc.) cu capabiliti de routare si wireless. Pentru a maximiza controlul
utilizatorului asupra routrii i a capabilitilor wireless, este recomandat ca utilizatorul s instaleze un
router wireless separat de cel al furnizorului de servicii, asupra cruia s aib control complet.
2. Implementai WPA2 n reeaua wireless
Reeaua wireless ar trebui s fie protejat prin folosirea tehnologiei Wi-Fi Protected Access 2 (WPA2),
care este de preferat n locul WEP (Wired Equivalent Privacy). Actualmente, tehnologia WEP este
vulnerabil, criptarea asociat putnd fi spart n timp foarte scurt i astfel, permind unui atacator s
intercepteze tot traficul. De menionat c, este posibil ca sistemele mai vechi s nu suporte WPA2, fiind
nevoie de un upgrade de software sau hardware. Dac urmeaz s achiziionai dispozitive wireless,
asigurai-v c sunt certificate cel puin WPA2-Personal.
3. Limitai accesul la interfeele de administrare ale dispozitivelor de reea
Administrarea acestor dispozitive (modem-uri, router-e, switch-uri) trebuie s fie permis doar din partea
intern a reelei, i acolo unde este posibil, opiunea de administrare extern a acestor dispozitive s fie
dezactivat, prevenind astfel ca un atacator s obin controlul reelei.
4. Implementai un furnizor alternativ de servicii DNS
De obicei, furnizorii de servicii Internet implementeaz servicii simple de DNS (domain name service),
neoferind faciliti care s blocheze accesul ctre site-uri periculoase sau infectate. Exist alternative
att comerciale, ct i open-source care menin o baz de date de tip blacklist pentru protecia i
restricionarea accesului la Internet.
5. Setai parole puternice pe toate dispozitivele de reea
Pe lang setarea unei parole puternice i complexe pentru reeaua wireless, toate dispozitivele de reea
care ofer posibilitatea de web-management ar trebui s aib parole puternice. De exemplu, majoritatea
imprimantelor de reea pot fi configurate via web, gama de setri fiind una vast, de la servicii pn la
alerte prin e-mail sau jurnalizri.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

III. Recomandri de securitate operaional i comportament pe Internet

1. Recomandri de cltorie
n diverse locuri (cafenele, hoteluri, aeroporturi, etc.) se gsesc hotspot-uri wireless sau chiocuri care
ofer servicii Internet clienilor. Avnd n vedere c infrastructura ce deservete aceste reele este una
necunoscut i c adeseori, securitatea nu e o preocupare n aceste locuri, exist o serie de riscuri.
Pentru a le contracara, iat cteva recomandri:

Dispozitivele mobile (laptop-uri, smart-phones) ar trebui s fie conectate la Internet folosind

reelele celulare (mobile Wi-Fi, 3G sau 4G), aceast modalitate fiind de preferat n locul
hotspot-urilor.

Dac se folosete un hotspot Wi-Fi pentru accesul la Internet, indiferent de reeaua folosit,
utilizatorii pot seta un tunel VPN ctre un furnizor de ncredere pentru acest gen de servicii,
protejnd astfel tot traficul de date efectuat i prevenind activiti ruvoitoare cum ar fi
interceptarea traficului.

Dac utilizarea unui hotspot Wi-Fi este singura modalitate de a accesa Internetul, este
recomandat s v rezumai doar la navigarea pe web i s evitai s accesai servicii unde
trebuie s v autentificai, deci s furnizai date de genul user/parol.

Este recomandat s avei tot timpul controlul asupra dispozitivelor mobile i laptop-urilor deoarece
acestea pot fi inta unui atac dac un atacator ar avea acces la ele. Astfel, dac suntei nevoit s
lsai, de exemplu, un laptop n camera de hotel, se recomand ca acesta s fie oprit i s aib
discurile criptate, aa cum precizam mai sus.
2. Schimbul de date ntre computerul de la locul de munc i cel de acas
n general, reelele companiilor sunt configurate de o manier mai sigur i au servicii (filtrare de emailuri, filtrare coninut web, IDS, etc.) care pot detecta coninutul maliios. De vreme ce acas,
utilizatorii nu au aceleai reguli de securitate ca la locul de munc, computerele personale sunt inte mult
mai uor de compromis pentru un atacator. Astfel, fluxul de date (folosind e-mailul sau stick-uri de
memorie, etc.) dinspre computerul de acas spre cel de la birou induce o serie de riscuri i trebuie evitat
de cte ori este posibil.
3. Stocarea datelor personale pe Internet trebuie fcut cu precauie
Informaiile personale, stocate pn acum n mod tradiional pe sisteme locale, tind s fie mutate pe
Internet, n cloud. Putem da exemplu de astfel de date cum ar fi: serviciile de webmail, informaii de
natur financiar sau informaii personale postate pe site-uri de socializare. Odat postat, informaia
din cloud este dificil de nlturat i este reglementat de regulile de securitate i confidenialitate ale
sistemului pe care este postat. Cei care posteaz astfel de informaii folosind aceste servicii web
trebuie s se gndeasc foarte bine nainte de a o face i s i rspund la urmtoarele ntrebri: Cine
va avea acces la aceste informaii? i Cum pot controla felul n care aceast informaie e stocat i
publicat?. Utilizatorii de Internet ar trebui, de asemenea, dac au temeri, s verifice periodic dac
informaii cu caracter personal ce i privesc au fost publicate pe Internet, cutnd astfel de informaii cu
ajutorul celor mai populare motoare de cutare.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

4. Utilizarea cu precauie a datelor personale pe site-urile de socializare

Site-urile de socilizare sunt foarte comod de folosit i foarte eficiente atunci cnd vine vorba de a partaja
informaii personale cu familia i prietenii. Aceste faciliti induc totui nite riscuri. De aceea, utilizatorii
trebuie s contientizeze ce date personale sunt accesibile altora i cine le poate accesa. Nu este
recomandat postarea numrului de telefon, a locului de munc sau a altor date ce pot fi folosite n mod
ruvoitor de ctre alii. Acolo unde este posibil, se recomand restricionarea accesului la datele
personale, permindu-l doar prietenilor. Atunci cnd primii mesaje sau aplicaii de la prieteni, prin
intermediul unor site-uri de socializare, gndii-v c multe din atacuri se bazeaz tocmai pe faptul c
astfel de mesaje sau aplicaii sunt cu prea mare uurin acceptate dac vin din partea unui prieten.
Aparent, aceste aplicaii ofer noi capabiliti, n realitate ele coninnd cod maliios bine ascuns
utilizatorului.
Multe din site-urile de socializare ofer acum opiunea de a renuna la publicarea datelor cu caracter
personal. Se recomand ca, periodic, s verificai politicile de securitate i setrile disponibile pe
respectivul site de socializare pentru a descoperi eventuale noi mecanisme de securitate implementate
n vederea proteciei informaiilor personale.
5. Utilizarea criptrii SSL
Criptarea la nivel de aplicaie (numit SSL - secure soket layer) asigur confidenialitatea informaiilor
atunci cnd sunt n tranzit prin alte reele. Acest gen de criptare previne furtul de identitate de ctre
eventuali atacatori care intercepteaz traficul din reele wireless de exemplu i care ar putea s vad
credenialele atunci cnd v autentificai la aplicaii web.
Atunci cnd este posibil, este recomandat s folosii versiunile criptate ale protocoalelor utilizate de
aplicaiile web. Instituiile financiare se bazeaz masiv pe criptarea datelor folosind SSL atunci cand
datele tranzaciilor sunt n tranzit prin alte reele. Multe dintre aplicaiile foarte populare precum
Facebook sau Gmail sunt implicit configurate s foloseasc aceast criptare. Marea majoritate a
browserelor web indic faptul c o aplicaie folosete SSL, folosind simbolul unui lact plasat lng URLul respectivului site.
6. Recomandri pentru folosirea e-mail-ului
Conturile de e-mail, att cele web-based, ct i cele locale, sunt inte foarte vizate de atacatori.
Urmtoarele recomandri se pot dovedi utile pentru a reduce riscurile legate de acest serviciu:

n ideea de a nu v compromite att contul de email de la birou, ct i cel personal, este

recomandat s folosii nume diferite pentru aceste conturi. Numele de utilizator unice pentru
aceste conturi diminueaz riscul de a fi vizate ambele conturi ntr-un atac

Setarea unor mesaje de genul out-of-office pentru contul personal de e-mail nu este
recomandat, fiind o surs preioas de informaii pentru spammeri i confirmnd faptul c
este o adres de e-mail valid

Folosii ntotdeauna protocoale securizate atunci cnd accesai e-mailul (indiferent de

protocol IMAPS, POP3S, HTTPS), mai ales atunci cnd folosii o reea wireless. Majoritatea
clienilor de email suport aceste protocoale, prevenind astfel o interceptare a e-mailului
atunci cnd este n tranzit ntre computerul dumneavoastr i serverul de e-mail

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

Mailurile nesolicitate care conin ataamente sau link-uri trebuie tratate ca suspecte. Dac
identitatea celui care a trimis respectivul email nu poate fi verificat, sfatul este de a terge
acel e-mail fr a-l deschide pentru a-i vedea coninutul. Nu rspundei la emailuri care v
solicit date cu caracter personal. Orice entitate cu care relaionai prin intermediul unor
aplicaii web ar trebui deja s aib aceste informaii. n cazul e-mailurilor care conin link-uri,
nu navigai direct ctre acel link. Putei copia acel link i s l cutai de exemplu pe Google.

7. Managementul parolelor
Asigurai-v c parolele i ntrebrile setate pentru mecanismele de recuperare a parolelor sunt
corespunztor securizate. Parolele trebuie s fie complexe i unice pentru fiecare cont n parte. O parol
complex trebuie s aib cel puin 10 caractere i s includ caractere speciale, cifre, litere mici i litere
mari. Parolele trebuie s fie unice pentru fiecare cont pentru a preveni compromiterea tuturor conturilor
dac o parol este compromis. Dezactivai acele opiuni care permit programelor s memoreze parole.
Multe site-uri implementeaz mecanisme de recuperare a parolelor de tip challenge-response.
Rspunsurile la aceste ntrebri trebuie s fie lucruri intim tiute de ctre utilizator i s nu poat fi gsite
pe Internet prin cutri bine direcionate.
8. Integrarea fotografii/GPS
n prezent, multe din telefoane i noile camere foto, includ n fotografii i coordonatele GPS ale locaiei
unde a fost fcut fotografia. Limitai accesul la aceste fotografii, permindu-l doar unei audiene de
ncredere, sau, folosind unelte software, eliminai coordonatele GPS. Aceste coordonate pot fi folosite
pentru a defini profilul unei persoane, a determina obiceiurile i locurile des frecventate, sau, pot indica
aproape n timp real poziia unei persoane atunci cnd sunt ncrcate pe un site de socializare prin
intermediul unui smartphone. Unele site-uri de socializare, cum ar fi Facebook, elimin automat
coordonatele GPS din fotografii, n scopul de a proteja viaa privat a utilizatorilor si.

9. Ingineria sociala
n domeniul securitii informatice, sensul ingineriei sociale const n puterea de a manipula oamenii
astfel nct s divulge informaii confideniale n scopul de a strnge informaii, a frauda sau a accesa n
mod neautorizat sisteme informatice. n cele mai multe cazuri, victima nu are contact personal cu
atacatorul. Astfel, trebuie contientizat faptul ca administratorii de reea sau ale altor servicii informatice
pe care le folosii, nu v vor solicita niciodata date cu caracter personal, cum ar fi numrul cardului
dumneavoastr de credit, codul pin sau parole ale contului de e-mail sau al vreunui alt serviciu.
Administratorii, nu au nevoie de date ale utilizatorilor, ei fiind capabili sa i desfoare activitatea intr-un
mod transparent fa de utilizatori, neinteracionnd dect n cazuri excepionale cu utilizatorii. Nu
divulgai niciodata date cu caracter personal sau confideniale n urma unor solicitri telefonice sau prin
e-mail i verificai ntotdeauna identitatea interlocutorului dac are loc un astfel de dialog.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

IV. Recomandri avansate de securitate

Urmtoarele recomandri solicit un nivel mai ridicat de cunotine referitoare la reele. Aceste
recomandri, odat implementate, pot duce la un grad sporit de securitate, dar pot avea un impact
asupra modului n care navigai pe web, adesea solicitnd revizuirea lor n mod repetat.
1. Configurarea routerelor wireless
Se pot face o serie de setri suplimentare pentru reelele wireless n ideea unei restricionri a accesului
mai riguroas. Mecanismele de securitate descrise mai jos sunt, totui, eficiente doar mpotriva unor
atacatori mai puin experimentai.

Filtrarea adreselor MAC permite accesul la reea doar sistemelor autorizate n prealabil,
prin configurarea routerului cu adresele MAC ale staiilor autorizate s acceseze reeaua

Limitarea puterii de transmisie a routerului pentru a limita aria n care reeaua este
accesibil, prevenind astfel ca reeaua s fie accesibil de exemplu din faa casei sau din
parcare

Ascunderea SSID-ului routerului previne detectarea reelei de ctre un eventual atacator,

dar totodat mpiedic computerele client din respectiva reea s o descopere, ele trebuind
s fie configurate manual

Reducerea plajei de adrese dinamic alocate de ctre router sau configurarea de adrese IP
statice n cadrul reelei este un alt mecanism de securitate care mpiedic computerele
neautorizate s se conecteze n reea

2. Dezactivarea executrii de scripturi n browsere

Dac folosii anumite browsere, putei folosi opiunea NoScript / NotScript sau plugin-uri pentru a nu
permite execuia de scripturi ce provin de pe site-uri necunoscute. Dezactivarea execuiei de scripturi
poate cauza probleme de folosire facil a browserului, dar este o tehnic foarte eficient pentru a
elimina o serie de riscuri legate de execuia acestor scripturi.

Acest Ghid a fost elaborat de ANSSI lund n considerare bunele practici n vederea asigurrii unui nivel
acceptabil de securitate precum i diverse materiale de specialitate.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale