Documente Academic
Documente Profesional
Documente Cultură
Nonsecuritatea
premis a criminalitii informatice
Ion IVAN
Academia de Studii Economice, Bucureti
ionivan@ase.ro
Daniel MILODIN
Academia de Studii Economice, Bucureti
daniel.milodin@ase.ro
Ctlin SBORA
Academia de Studii Economice, Bucureti
catalin.sbora@gmail.com
35
36
37
sunt contactai telefonic n numele unei anumite bnci i li se cer pur i simplu
datele de identificare pentru acces la conturile acestora, justificnd cu
necesitatea actualizrii datelor din sistemul informatic al bncii. O alt
modalitate rspndit i folosit adesea prin intermediul internetului este
transmiterea de e-mailuri cu aspect oficial prin care utilizatorii sunt ndrumai s
acceseze anumite site-uri web cu ajutorul crora sunt colectate mai apoi datele
personale ale utilizatorilor. Aceste site-uri web sunt copiate, termenul tehnic
este de site clonat, la nivel grafic, de obicei dup site-uri oficiale ale instituiilor
financiare, pclind foarte uor utilizatorul obinuit. Operaiunea de phishing a
luat amploare odat cu rspndirea pe scar larg a serviciilor de online
banking, ca urmare a posibilitilor aprute datorit deschiderii oferite de
Internet, dar i din cauza lipsei unei organizaii care s reglementeze i s
controleze accesul, n cazul tranzaciilor financiare. Un alt factor care a
contribuit la succesul atacurilor de tip phishing este naivitatea utilizatorilor
combinat cu lipsa unei instruiri adecvate referitoare la modul de utilizare i
protejare a informaiilor personale.
Dup cum se observ n graficul din figura 1, realizat pe baza datelor
statistice furnizate de RSA(2), numrul atacurilor de tip phishing este n continu
cretere pe msur ce apar noi unelte care s faciliteze crearea i dezvoltarea
unor atacuri de tip phishing. Aceste unelte ofer infractorilor care nu au
cunotine foarte solide n domeniul calculatoarelor acces la tehnologii destul de
avansate, i de aceea este normal aceast cretere a numrului de atacuri din
moment ce numrul de indivizi care lanseaz aceste atacuri crete.
38
39
Internet
40
Server sincronizare
pentru zona Z1
Internet
Server sincronizare
pentru zona Zn
Figura 3. Configuraie cu sincronizarea abloanelor prin servere zonale
41
42
43
Cele mai des ntlnite vulnerabiliti ale aplicaiilor informatice sunt date
n figura 5:
SQL Injection
Logic Flaw
Authorization Bypass
Verbose Errors
Vulnerabiliti
Cross-site Scripting
(XSS)
Vulnerable Third Party Software
44
45
46
47
3. Ci de reducere a insecuritii
Reducerea insecuritii se rezum de cele mai multe ori la acoperirea
vulnerabilitilor fie prin actualizarea aplicaiilor vulnerabile, fie prin folosirea
unor aplicaii de securitate specializate care s ofere protecie asupra atacurilor
de tip zero-day. Cele mai rspndite atacuri de tip zero-day sunt atacurile care
folosesc injectarea de cod SQL, i care de cele mai multe ori exploateaz
vulnerabiliti datorate neglijenei din timpul procesului de dezvoltare i testare
software, aadar o prim msur pentru a reduce acest gen de vulnerabiliti
implic direct contientizarea dezvoltatorilor software asupra necesitii de a
evita situaiile n care sunt permise construcii de interogri SQL, folosind
datele introduse de utilizator fr niciun fel de verificare. Aadar o prim
modalitate de reducere a insecuritii legate de injectarea de cod este
contientizarea pericolelor nc din etapa dezvoltrii i abordarea unor
metodologii de dezvoltare i testare care s ia n calcul i securitatea
informaiei. n etapa dezvoltrii se folosesc urmtoarele tehnici pentru
eliminarea sau reducerea pericolelor referitoare la injectarea de cod SQL:
folosirea interogrilor precompilate (prepared statement);
folosirea procedurilor stocate;
validarea intrrilor de la utilizator, nainte de folosirea efectiv n
construcia de interogri SQL;
folosirea cadrelor de lucru de tip ORM (Object Relational Mapping
Frameworks), gen Hibernate, Entity Framework etc.
Aceste tehnici adug timpi suplimentari n etapa de nceput a dezvoltrii,
din cauza necesitii de analiz i structurare corespunztoare a codului, dar pe
termen lung folosirea de la bun nceput a unor astfel de tehnici duce la
reducerea costurilor de dezvoltare, ntreinere i actualizare a aplicaiilor.
Folosirea aplicaiilor de securitate capabile s previn atacurile de tip
injectare de cod SQL introduce de cele mai multe ori procesri suplimentare,
fapt ce afecteaz performana aplicaiei n cazul unei utilizri intense.
O alt clas de vulnerabiliti cu impact destul de serios la nivelul unui
sistem compromis este reprezentat de execuia de cod la distan. Acest tip de
vulnerabilitate apare de cele mai multe ori datorit modului n care a fost scris
codul din diferite aplicaii informatice, problemele de tip buffer overflow
fiind cele care permit n multe cazuri executarea de cod arbitrar care s iniieze
atacurile la distan. Codul de iniiere al atacului este de obicei un client TCP/IP
care se conecteaz la un server, de unde primete comenzi pe care mai apoi le
execut pe sistemul gazd, aadar atacatorul ajunge s dispun de acces
nelimitat la resursele sistemul compromis. Atacurile folosind tehnici de tip
buffer overflow se bazeaz pe execuia de cod binar din segmentul de
48
49
Staie O1N
Server Organizaie
SO1
Staie O21
Staie O22
Server Organizaie
SO2
Internet
Staie O2N
Server Central cu
pachete pentru
actualizare
Staie On1
Staie On2
Staie OnN
Server Organizaie
SOn
50
51
52
53
54
6. Concluzii
Conform unui studiu recent al companiei Symantec(4), din punct de vedere
financiar, pierderile anuale directe la nivel global cauzate de criminalitatea
informatic s-au ridicat la valoarea de 114 miliarde de dolari, la acestea
adugndu-se i pierderile indirecte generate n urma incidentelor de securitate,
aproximate la 274 miliarde de dolari. Aadar, dup cum se observ,
nonsecuritatea genereaz o serie de probleme care, n cele din urm, n cazul
companiilor se transform direct n pierderi financiare. Nu exist sisteme de
securitate perfecte, care s asigure n acelai timp protecie total pentru toate
clasele de utilizatori, dar folosirea sistemelor de securitate adecvate reduce n
mod semnificativ posibilitatea ca informaiile sensibile s fie compromise. Este
foarte important ca fiecare utilizator de sisteme informatice s neleag
riscurile la care se expune i s aleag un sistem de securitate adecvat situaiei
n care se afl.
Trebuie ca cercetarea tiinific s produc noi tehnici, metode i
instrumente care s contracareze efecte de insecuritate, dar i s prevad
provocri i s fie cu un pas nainte n prevenirea lor.
Aa cum se observ, criminalitatea informatic a parcurs diverse etape
evolutive, pornind de la simplul atac asupra unui calculator, folosind un virus,
malware, troian, ajungnd la atacul asupra unei ntregi ramuri economice a unui
stat. Pericolul criminalitii informatice este cu att mai mare cu ct implic
preluarea unor date considerate cu caracter personal i confidenial care asigur
accesul la resursele personale ale unei pri componente a populaiei ce face
obiectul atacurilor; ca urmare sporirea protecie mpotriva acestor atacuri
trebuie realizat nc din primele etape ale crerii sistemelor informatice,
nlturndu-se astfel pericolul propagrii efectelor asupra utilizatorilor implicai
n lucrul cu resursele de calcul.
Note
(1)
55
Bibliografie
Ivan, I., Apostol, C., Certificarea produselor program prin amprente, Revista Romn de
Informatic i Automatic, vol. 13, nr. 1, 2003, pp. 32-38, ISSN 1220-1758
Ivan, I., Toma, C., Testarea interfeelor om-calculator, Revista Romn de Informatic i
Automatic, vol. 13, nr. 2, 2003, pp. 22-29, ISSN 1220-1758
Golooiu-Georgescu Ligia (2003). Mijloace, modaliti i instrumente de plat, Editura ASE,
Bucureti
www.bnro.ro
Barabasi A. L. et al., Scale free characteristics of random networks: the topology of the worldwide web, Physica A, Elsevier Science B.V., 2000
Ivan, I., Ciurea, C., Quality Characteristics of Collaborative Systems, Proceedings of The
Second International Conferences on Advances in Computer-Human Interactions, ACHI
2009, February 1-7, 2009, Cancun, Mexico, paper published by IEEE Computer Society
Press and IEEE XPlore Digital Library, ISBN 978-1-4244-3351-3