Documente Academic
Documente Profesional
Documente Cultură
Ghid de Bune Practici Pentru Securizarea Calculatoarelor Si Retelelor Personale
Ghid de Bune Practici Pentru Securizarea Calculatoarelor Si Retelelor Personale
Ghidul de bune practici emis de Asociaia National pentru Securitatea Sistemelor Informatice ofer
recomandri necesare n vederea asigurrii unui nivel de securitate informatic eficient.
Ameninrile cibernetice nu se mai limiteaz n a viza doar reelele mari ale corporaiilor. Atacatorii au
neles c intele sunt mai vulnerabile atunci cnd utilizatorii lucreaz acas, unde, de obicei, msurile de
securitate sunt mai slabe. Utilizatorii trebuie s menin de asemenea un nivel corespunztor de
securitate i atunci cnd lucreaz acas, utiliznd Internetul.
Ghidul este structurat n patru capitole: recomandri pentru securitatea computerelor personale,
recomandri pentru securitatea reelelor personale, recomandri de securitate operaional i
comportament pe Internet, respectiv recomandri avansate de securitate.
I. Recomandri pentru securitatea computerelor personale
n momentul de fa, exist cteva astfel de browsere, care, atunci cnd se execut un cod malware,
izoleaz acest cod de sistemul de operare, fcnd astfel imposibil exploatarea unei eventuale
vulnerabiliti a sistemului de operare. Majoritatea acestui gen de browsere au i capabilitatea de autoactualizare sau de notificare a utilizatorului atunci cnd apar versiuni noi.
Exist pe pia i abordri care mut navigarea pe web n ntregime pe maini virtuale, dar care nu au
nc maturitatea tehnologic necesar pentru a fi folosite de publicul larg.
5. Folosii numai programe cu capabiliti de Sandboxing pentru a citi fiierele de tip PDF
Capabilitatea de Sandboxing izoleaz de sistemul de operare orice cod malware coninut de fiierele
PDF. Aceste fiiere au devenit un vector de atac foarte des folosit, ele putnd conine, pe lang
informaia legitim, cod executabil. n prezent, exist cteva versiuni, att comerciale, ct i opensource, ale unor astfel de softuri ce au capabiliti de Sandboxing, ct i de blocare a linkurilor ctre
website-uri incluse n documentele n format PDF.
6. Folosii versiuni ale aplicaiilor de tip Office ct mai recente
n versiunile mai recente, formatul de stocare al documentelor este XML, un format care nu permite
executarea de cod la deschiderea unor documente, astfel protejnd utilizatorii de malware-ul ce
folosete ca mod de propagare astfel de documente. Unele din versiunile cele mai recente ofer o
facilitate de tip protected view, deschiznd documentele n modul read-only, astfel eliminnd o serie
de riscuri generate de un fiier infectat.
7. Actualizai-v software-ul
Majoritatea utilizatorilor nu au timpul sau rbdarea de a verifica dac aplicaiile instalate pe computer
sunt actualizate. De vreme ce exist multe aplicaii ce nu au capabiliti de auto-actualizare, atacatorii
vizeaz astfel de aplicaii ca mijloace de a prelua controlul asupra sistemului. Pe pia exist cteva
produse ce monitorizeaz software-ul instalat pe sistem i descoper care aplicaii au ajuns la sfritul
duratei ciclului de via sau au nevoie de actualizri, indicnd i locul de unde pot fi obinute actualizri
sau versiuni mai noi pentru respectivele aplicaii.
8. Criptai discurile laptop-urilor
Sistemele de operare recente ofer nativ capabilitatea de criptare a discurilor prin mecanisme proprii.
Pentru versiuni mai vechi, dar i pentru celelalte exist produse care implementeaz acest serviciu.
Astfel, putei evita accesul neautorizat la informaii confideniale, n caz c laptop-ul este pierdut sau
furat.
9. Actualizai-v sistemele de operare pentru dispozitivele mobile
Este recomandat s facei acest lucru atunci cnd apar versiuni noi i s verificai acest lucru periodic.
Suntei mult mai vulnerabili atunci cnd utilizai dispozitivele mobile (telefon, tableta, etc.) n timpul unor
cltorii,deoarece ameninrile sunt mai probabile n reelele publice din aeroporturi, gri, obiective
turistice etc.
10. Utilizai parole complexe
Ca o regul general, toate parolele asociate cu orice cont de utilizator ar trebui s aib cel puin 10
caractere i s fie complexe, n sensul de a include caractere speciale, cifre, litere mici i litere mari.
Reelele personale sunt reele informatice de mici dimensiuni utilizate cel mai adesea la domiciliu bazate
din ce n ce mai mult pe tehnologia wireless.
1. Designul reelei
De obicei, furnizorii de servicii Internet furnizeaz un dispozitiv de conectare la reeaua lor (un modem
de cablu, un modem ADSL, etc.) cu capabiliti de routare si wireless. Pentru a maximiza controlul
utilizatorului asupra routrii i a capabilitilor wireless, este recomandat ca utilizatorul s instaleze un
router wireless separat de cel al furnizorului de servicii, asupra cruia s aib control complet.
2. Implementai WPA2 n reeaua wireless
Reeaua wireless ar trebui s fie protejat prin folosirea tehnologiei Wi-Fi Protected Access 2 (WPA2),
care este de preferat n locul WEP (Wired Equivalent Privacy). Actualmente, tehnologia WEP este
vulnerabil, criptarea asociat putnd fi spart n timp foarte scurt i astfel, permind unui atacator s
intercepteze tot traficul. De menionat c, este posibil ca sistemele mai vechi s nu suporte WPA2, fiind
nevoie de un upgrade de software sau hardware. Dac urmeaz s achiziionai dispozitive wireless,
asigurai-v c sunt certificate cel puin WPA2-Personal.
3. Limitai accesul la interfeele de administrare ale dispozitivelor de reea
Administrarea acestor dispozitive (modem-uri, router-e, switch-uri) trebuie s fie permis doar din partea
intern a reelei, i acolo unde este posibil, opiunea de administrare extern a acestor dispozitive s fie
dezactivat, prevenind astfel ca un atacator s obin controlul reelei.
4. Implementai un furnizor alternativ de servicii DNS
De obicei, furnizorii de servicii Internet implementeaz servicii simple de DNS (domain name service),
neoferind faciliti care s blocheze accesul ctre site-uri periculoase sau infectate. Exist alternative
att comerciale, ct i open-source care menin o baz de date de tip blacklist pentru protecia i
restricionarea accesului la Internet.
5. Setai parole puternice pe toate dispozitivele de reea
Pe lang setarea unei parole puternice i complexe pentru reeaua wireless, toate dispozitivele de reea
care ofer posibilitatea de web-management ar trebui s aib parole puternice. De exemplu, majoritatea
imprimantelor de reea pot fi configurate via web, gama de setri fiind una vast, de la servicii pn la
alerte prin e-mail sau jurnalizri.
1. Recomandri de cltorie
n diverse locuri (cafenele, hoteluri, aeroporturi, etc.) se gsesc hotspot-uri wireless sau chiocuri care
ofer servicii Internet clienilor. Avnd n vedere c infrastructura ce deservete aceste reele este una
necunoscut i c adeseori, securitatea nu e o preocupare n aceste locuri, exist o serie de riscuri.
Pentru a le contracara, iat cteva recomandri:
Dac se folosete un hotspot Wi-Fi pentru accesul la Internet, indiferent de reeaua folosit,
utilizatorii pot seta un tunel VPN ctre un furnizor de ncredere pentru acest gen de servicii,
protejnd astfel tot traficul de date efectuat i prevenind activiti ruvoitoare cum ar fi
interceptarea traficului.
Dac utilizarea unui hotspot Wi-Fi este singura modalitate de a accesa Internetul, este
recomandat s v rezumai doar la navigarea pe web i s evitai s accesai servicii unde
trebuie s v autentificai, deci s furnizai date de genul user/parol.
Este recomandat s avei tot timpul controlul asupra dispozitivelor mobile i laptop-urilor deoarece
acestea pot fi inta unui atac dac un atacator ar avea acces la ele. Astfel, dac suntei nevoit s
lsai, de exemplu, un laptop n camera de hotel, se recomand ca acesta s fie oprit i s aib
discurile criptate, aa cum precizam mai sus.
2. Schimbul de date ntre computerul de la locul de munc i cel de acas
n general, reelele companiilor sunt configurate de o manier mai sigur i au servicii (filtrare de emailuri, filtrare coninut web, IDS, etc.) care pot detecta coninutul maliios. De vreme ce acas,
utilizatorii nu au aceleai reguli de securitate ca la locul de munc, computerele personale sunt inte mult
mai uor de compromis pentru un atacator. Astfel, fluxul de date (folosind e-mailul sau stick-uri de
memorie, etc.) dinspre computerul de acas spre cel de la birou induce o serie de riscuri i trebuie evitat
de cte ori este posibil.
3. Stocarea datelor personale pe Internet trebuie fcut cu precauie
Informaiile personale, stocate pn acum n mod tradiional pe sisteme locale, tind s fie mutate pe
Internet, n cloud. Putem da exemplu de astfel de date cum ar fi: serviciile de webmail, informaii de
natur financiar sau informaii personale postate pe site-uri de socializare. Odat postat, informaia
din cloud este dificil de nlturat i este reglementat de regulile de securitate i confidenialitate ale
sistemului pe care este postat. Cei care posteaz astfel de informaii folosind aceste servicii web
trebuie s se gndeasc foarte bine nainte de a o face i s i rspund la urmtoarele ntrebri: Cine
va avea acces la aceste informaii? i Cum pot controla felul n care aceast informaie e stocat i
publicat?. Utilizatorii de Internet ar trebui, de asemenea, dac au temeri, s verifice periodic dac
informaii cu caracter personal ce i privesc au fost publicate pe Internet, cutnd astfel de informaii cu
ajutorul celor mai populare motoare de cutare.
Setarea unor mesaje de genul out-of-office pentru contul personal de e-mail nu este
recomandat, fiind o surs preioas de informaii pentru spammeri i confirmnd faptul c
este o adres de e-mail valid
Mailurile nesolicitate care conin ataamente sau link-uri trebuie tratate ca suspecte. Dac
identitatea celui care a trimis respectivul email nu poate fi verificat, sfatul este de a terge
acel e-mail fr a-l deschide pentru a-i vedea coninutul. Nu rspundei la emailuri care v
solicit date cu caracter personal. Orice entitate cu care relaionai prin intermediul unor
aplicaii web ar trebui deja s aib aceste informaii. n cazul e-mailurilor care conin link-uri,
nu navigai direct ctre acel link. Putei copia acel link i s l cutai de exemplu pe Google.
7. Managementul parolelor
Asigurai-v c parolele i ntrebrile setate pentru mecanismele de recuperare a parolelor sunt
corespunztor securizate. Parolele trebuie s fie complexe i unice pentru fiecare cont n parte. O parol
complex trebuie s aib cel puin 10 caractere i s includ caractere speciale, cifre, litere mici i litere
mari. Parolele trebuie s fie unice pentru fiecare cont pentru a preveni compromiterea tuturor conturilor
dac o parol este compromis. Dezactivai acele opiuni care permit programelor s memoreze parole.
Multe site-uri implementeaz mecanisme de recuperare a parolelor de tip challenge-response.
Rspunsurile la aceste ntrebri trebuie s fie lucruri intim tiute de ctre utilizator i s nu poat fi gsite
pe Internet prin cutri bine direcionate.
8. Integrarea fotografii/GPS
n prezent, multe din telefoane i noile camere foto, includ n fotografii i coordonatele GPS ale locaiei
unde a fost fcut fotografia. Limitai accesul la aceste fotografii, permindu-l doar unei audiene de
ncredere, sau, folosind unelte software, eliminai coordonatele GPS. Aceste coordonate pot fi folosite
pentru a defini profilul unei persoane, a determina obiceiurile i locurile des frecventate, sau, pot indica
aproape n timp real poziia unei persoane atunci cnd sunt ncrcate pe un site de socializare prin
intermediul unui smartphone. Unele site-uri de socializare, cum ar fi Facebook, elimin automat
coordonatele GPS din fotografii, n scopul de a proteja viaa privat a utilizatorilor si.
9. Ingineria sociala
n domeniul securitii informatice, sensul ingineriei sociale const n puterea de a manipula oamenii
astfel nct s divulge informaii confideniale n scopul de a strnge informaii, a frauda sau a accesa n
mod neautorizat sisteme informatice. n cele mai multe cazuri, victima nu are contact personal cu
atacatorul. Astfel, trebuie contientizat faptul ca administratorii de reea sau ale altor servicii informatice
pe care le folosii, nu v vor solicita niciodata date cu caracter personal, cum ar fi numrul cardului
dumneavoastr de credit, codul pin sau parole ale contului de e-mail sau al vreunui alt serviciu.
Administratorii, nu au nevoie de date ale utilizatorilor, ei fiind capabili sa i desfoare activitatea intr-un
mod transparent fa de utilizatori, neinteracionnd dect n cazuri excepionale cu utilizatorii. Nu
divulgai niciodata date cu caracter personal sau confideniale n urma unor solicitri telefonice sau prin
e-mail i verificai ntotdeauna identitatea interlocutorului dac are loc un astfel de dialog.
Urmtoarele recomandri solicit un nivel mai ridicat de cunotine referitoare la reele. Aceste
recomandri, odat implementate, pot duce la un grad sporit de securitate, dar pot avea un impact
asupra modului n care navigai pe web, adesea solicitnd revizuirea lor n mod repetat.
1. Configurarea routerelor wireless
Se pot face o serie de setri suplimentare pentru reelele wireless n ideea unei restricionri a accesului
mai riguroas. Mecanismele de securitate descrise mai jos sunt, totui, eficiente doar mpotriva unor
atacatori mai puin experimentai.
Filtrarea adreselor MAC permite accesul la reea doar sistemelor autorizate n prealabil,
prin configurarea routerului cu adresele MAC ale staiilor autorizate s acceseze reeaua
Limitarea puterii de transmisie a routerului pentru a limita aria n care reeaua este
accesibil, prevenind astfel ca reeaua s fie accesibil de exemplu din faa casei sau din
parcare
Reducerea plajei de adrese dinamic alocate de ctre router sau configurarea de adrese IP
statice n cadrul reelei este un alt mecanism de securitate care mpiedic computerele
neautorizate s se conecteze n reea
Acest Ghid a fost elaborat de ANSSI lund n considerare bunele practici n vederea asigurrii unui nivel
acceptabil de securitate precum i diverse materiale de specialitate.