RISCUL DE ATAC ELECTRONIC ASUPRA SISTEMELOR DE INFORMAII

Lucian Vasiu1 i Ioana Vasiu2

1

Universitatea Dimitrie Cantemir, Facultatea de Drept

2

Universitatea Babe Bolyai Universitatea Dimitrie Cantemir, Facultatea de Drept Rezumat Alturi de multe beneficii, calculatoarele i interconectarea acestora prezint i aspecte negative, cum ar fi apariia unor noi tipuri de infractiuni (spre exemplu, distribuirea de virui informatici), precum i posibilitatea de comitere a unor infraciuni tradiionale prin intermediul noilor tehnologii (spre exemplu, frauda sau falsul). Proliferarea calculatoarelor, din ce n ce mai puternice i disponibile la preuri din ce n ce mai mici, precum i dramatica expansiune a interconectivitii (inter alia), au dat potenialilor atacatori posibilitatea de a realiza atacuri rapide i fr constrngeri geografice, adesea cu consecine serioase pentru victime i cu probabilitate mic de detectare sau incriminare. Deoarece atacurile electronice asupra sistemelor de informaii pot produce o serie de consecine negative -financiare, operaionale, legale sau strategice -, la nivel individual, de organizaie sau chiar naional, riscul de atac electronic trebuie bine nelese, pentru a fi atenuat sau chiar eliminat. n aceast lucrare ne propunem s discutm riscul de atac electronic asupra sistemelor de informaii, cine sunt potenialii atacatori i care sunt motivaiile acestora, care sunt tipurile de ameniri, vulnerabiliti i expuneri, precum i modaliti de abordare a analizei de risc. Cuvinte cheie: atac electronic, sistem de informaii, acces neautorizat, analiz de risc, management Introducere n mai puin de o generaie, introducerea calculatoarelor n virtual fiecare dimensiune a societii a schimbat semnificativ modul n

care oamenii i organizaiile obin sau disemineaz informaii sau desfoar afaceri, permind o mai mare eficien, un control operaional sporit i un acces eficient la informaii. Alturi de multe beneficii, ns, calculatoarele i interconectarea acestora prezint i aspecte negative, cum ar fi apariia unor noi tipuri de infraciuni (spre exemplu, distribuirea de virui informatici), precum i posibilitatea de comitere a unor infraciuni tradiionale prin intermediul noilor tehnologii (spre exemplu, frauda sau falsul) (Vasiu i Vasiu, 2004). Proliferarea calculatoarelor, din ce n ce mai puternice i disponibile la preuri din ce n ce mai mici, precum i dramatica expansiune a interconectivitii (inter alia), au dat potenialilor atacatori posibilitatea de a realiza atacuri rapide i fr constrngeri geografice, adesea cu consecine serioase pentru victime i cu probabilitate mic de detectare sau incriminare. Deoarece atacurile electronice asupra sistemelor de informaii pot produce o serie de consecine negative financiare, operaionale, legale sau strategice la nivel individual, de organizaie sau chiar naional, riscul de atac electronic trebuie bine neles pentru a fi atenuat sau chiar eliminat. n aceast lucrare ne propunem s discutm riscul de atac electronic asupra sistemelor de informaii, cine sunt potenialii atacatori i care sunt motivaiile acestora, care sunt tipurile de ameninri, vulnerabiliti i expuneri, precum si modaliti de abordare a analizei de risc. Riscul de atac electronic Sistemele de informaii computerizate sunt eseniale pentru buna desfurare a majoritii activitilor moderne; prin urmare, securitatea acestora trebuie s fie o preocupare important pentru organizaii. O serie de factori pot fi considerai drept factori care au crescut riscul de atac electronic la adresa sistemelor de informaii: Dificultile de securizare inerente (Landwehr, 2001; Loscocco i colab., 1998); Globalizarea crescnd; Insuficienta contientizare i educare a utilizatorilor sistemelor de informaii (Siponen, 2000) i atitudinile sau practicile care nu respect procedurile de folosire (Schneier, 2000); Disponibilitatea de informaii privind penetrarea fr autorizare a sistemelor de informaii; Reglementri legislative neclare i anumite dificulti jurisdicionale. Posibilitatea ca sistemele de informaii computerizate ale unei organizaii s fie insuficient protejate mpotriva anumitor atacuri sau

pierderi este numit de Straub i Welke (1998) risc de sistem. Adams i Thompson (2002) consider c riscul este ceva subiectiv, care se refer la un viitor care exist doar n imaginaie. Conform lui Turban (1996), risc este definit ca posibilitatea ca o ameninare s se materializeze. Riscul este, n contextul sistemelor de informaii computerizate, suma ameninrilor (evenimentelor care pot cauza daune), vulnerabilitilor i valoarea informaiilor expuse: Risc = Ameninri + Vulnerabiliti + Valoarea informaiilor. nainte de a determina ameninrile, vulnerabilitile i a atenua riscurile, trebuie determinat ce se ncearc a se proteja dup cum argumenteaz Berryman (2002), trebuie fcut un inventar complet al sistemului de informaii. Informaiile stocate electronic au o anumit valoare. Un incident care va afecta negativ informaiile stocate electronic va afecta i individul sau organizaia care depinde sau folosete respectivele informaii. Informaiile sunt evaluate n acord cu posibilul impact al unui incident care va afecta negativ informaiile. Ameninrile, vulnerabilitile i posibilul impact trebuie combinate pentru a obine o msur a riscului la care sunt expuse informaiile. O reprezentare diagramatic sugestiv a conceptelor privind securitatea sistemelor de informaii computerizate i relaiile dintre acestea este propus n standardul Common Criteria for Information Technology Security Evaluation (adaptat n Figura 1):

Figura 1 Conceptele privind securitatea sistemelor de informaii i relaiile dintre acestea

Un model al efectivitii securitii unui sistem de informaii computerizat este propus de Kankanhalli i colab. (2003). Conform acestui model, angajamentul managerilor de vrf, dimensiunea organizaiei, eforturile de disuadare i prevenire sunt considerai printre cei mai importani factori.

Figura 2 Model al efectivitii securitii unui sistem de informaii (Kankanhalli, 2003) Pentru a evalua potenialul atacurilor posibile (importana i impactul potenial al unui incident de securitate), este necesar s fie nelese expertiza, motivaia i intenia potenialilor atacatorilor. Un atacator care selecteaz sistemul victim n funcie de insecuritile pe care acesta le prezint este diferit de un atacator care selecteaz pentru atac un sistem anume, pentru a comite anumite fapte. Pentru a putea selecta i implementa contramsuri adecvate riscurilor asociate cu sistemele de informaii computerizate este necesar ca ameninrile la adresa acestora s fie bine nelese. n urmtoarea seciune sunt discutate categoriile de atacatori poteniali, motivaia acestora i ameninrile puse la adresa sistemelor de informaii computerizate. Atacatori, ameninri i vulnerabiliti Poteniali atacatori ai sistemelor de informai computerizate Persoanele din interiorul unei organizaii i accidentele sau dezastrele naturale reprezint principalele surse de riscuri la adresa sistemelor de informaii. Persoanele din exterior reprezint, de asemenea, o surs important de risc deoarece sunt, n unele cazuri, mai motivai i mai dificil de depistat i investigat dect persoanele din interiorul organizaiilor. Conform lui Ozier (1999), organizaiile trebuie s adreseze n mod explicit urmtoarele elemente n orice analiz a riscurilor:

agenii ameninrilor ; motivaia atacatorilor; capabilitile atacatorilor; ameninrile la adresa informaiilor; frecvena ameninrilor; impactul ameninrilor; probabilitatea atacurilor; vulnerabilitile propriilor sisteme; controalele disponibile/implementabile. Pornind de la A Preliminary Classification Scheme for Information System Threats, Attacks, and Defenses (Cohen i colab., 1998), considerm c urmtorii actori pot cauza probleme de securitate sistemelor de informaii computerizate: Angajai: Acetia sunt investii cu ncredere i au acces la sistemul de informaii, ceea ce le permite cunoaterea slbiciunilor sistemelor, efectuarea de operaiuni care pot fi n detrimentul organizaiilor, precum i tergerea evidenelor digitale (Vasiu i Vasiu, 2004); Consultani/Personal de ntreinere a sistemului: Acetia au adesea acces la sistemul de informaii, ceea ce le permite efectuarea de diverse operaiuni; Furnizori/Clieni: Motivele lor economice nu sunt n unele cazuri aliniate cu cele ale organizaiei i, n unele situaii, pot efectua anumite aciuni care pot prezenta riscuri de securitate; Competitori: Ali indivizi sau organizaii care vor avea de ctigat de pe urma pierderilor organizaiei cauzate de atacuri asupra sistemului de informaii; Crackeri1/Mercenari informatici/Infractori profesioniti: Persoane care penetreaz ilegal sistemele de informaii i cauzeaz daune intenionat, motivaiile fiind diverse; Experi n spionaj: Persoane care sunt specializate n obinerea de informaii de care vor beneficia alte organizaii. Aceste persoane au un nivel nalt de cunotine tehnice, sunt bine pltite i pot adesea realiza aciunile lor nedetectate; Accidente/Dezastre naturale: Acestea pot cauza pierderea de informaii importante sau indisponibilitatea acestora.

1 Stallman (1984), care se autonumete hacker, recomand folosirea termenului cracker pentru cei care penetreaz sistemele de informaii prin nclcarea msurilor de securitate.

Atacatorii sistemelor de informaii pot fi clasificai dup mai multe criterii. n funcie de motivaie, distingem patru categorii principale (Vasiu i Vasiu, 2001): Motivaie social: Atacatorii din aceast categorie ncearc s obin un sentiment de superioritate sau de control, de acceptare de ctre ali atacatori sau de integrare ntr-un anumit grup; Motivaie tehnic: Atacatorii din aceast categorie ncearc s nving sistemul, ca un fel de provocare intelectual; Motivaie politic: Atacatorii din aceast categorie ncearc s obin atenie politic, pentru a promova o anumit cauz; Motivaie financiar: Atacatorii din aceast categorie ncearc s obin un ctig personal (spre exemplu, spioni, mercenari informatici, diverse organizaii sau chiar persoane care se ocup cu distribuirea de informaii confideniale etc.). Analiza de risc Analiza de risc este larg folosit de organizaii (Blakley i colab., 2002), chiar dac exist autori (spre exemplu, Jacobson (1996)) care consider c analiza de risc este subiectiv, inconsistent sau chiar inutil. Conform lui Wilsher i Kurth (1996), organizaiile trebuie s abordeze problema riscului n patru etape: Identificarea i evaluarea informaiilor importante; Identificarea i evaluarea ameninrilor; Evaluarea vulnerabilitilor; Evaluarea riscului. Urmtoarele ntrebri fundamentale trebuie s-i gseasc rspunsul n cadrul unei analize de risc (Ozier, 1999): Ce evenimente nedorite se pot petrece? Dac se materializeaz, care va fi impactul? Ct de des se poate petrece evenimentul nedorit? Ct de cert este informaia care definete primele trei elemente? Berryman (2002) argumenteaz c organizaiile trebuie s identifice ameninrile, vulnerabilitile i apoi s cuantifice impactul potenialelor vulnerabiliti. Pentru fiecare vulnerabilitate, trebuie considerate probabilitatea ca aceasta s fie exploatat i daunele care ar rezulta dac aceasta este exploatat. Contramsurile pentru atenuarea riscurilor trebuie identificate, iar costurile acestora trebuie determinate. Costurile presupuse de atenuare a riscurilor trebuie opuse costurilor

pentru organizaie dac vulnerabilitatea este exploatat, astfel nct managerii s poat decide ce riscuri s previn, limiteze sau accepte. Exist mai multe abordri ale analizei de risc, cu toate acestea putem vorbi despre dou categorii importante: cantitative i calitative. Analiza de risc cantitativ abordeaz probabilitatea producerii unui eveniment i pierderile probabile care s-ar produce. Acest tip de analiz de risc folosete pierderea anual estimat (Blakley i colab., 2002) sau costul anual estimat. Valoarea pentru un anumit eveniment este calculat prin multiplicarea pierderilor poteniale cu probabilitatea petrecerii evenimentului nedorit. Aceast abordare face posibil ierarhizarea evenimentelor n ordinea riscului, ceea ce permite luarea unor decizii bazate pe aceast ierarhizare. O asemenea abordare prezint, ns, probleme legate de nefiabilitatea i inexactitatea datelor. Probabilitatea producerii unui eveniment poate fi estimat precis doar rareori; adiional, controalele i contramsurile abordeaz un numr de evenimente poteniale. Cu toate aceste minusuri, un numr important de organizaii au adoptat cu succes analiza de risc cantitativ. Analiza de risc calitativ, n care se folosete doar valoarea pierderii poteniale estimate, este cel mai larg folosit n acest domeniu. Cele mai multe metodologii pentru analiza de risc calitativ folosesc un numr de elemente corelate: Ameninri: Acestea sunt prezente pentru fiecare sistem i reprezint ceea ce s-ar putea ntmpla cu un sistem sau ceea ce ar putea ataca un sistem. Ameninrile sunt foarte variate i obiectivul atacatorului const n obinerea de beneficii pentru sine sau pentru alii sau n prejudicierea deintorilor sistemului de informaii. Un posibil pericol la adresa sistemului (Kabay, 1996); Circumstan care are potenialul de a cauza o pierdere organizaiei (Pfleeger, 1997; Castano i colab., 1995; Neumann, 1995); Circumstan sau eveniment care poate cauza violarea securitii sistemului (Summers, 1997). Vulnerabiliti: Acestea se datoreaz inconsistenelor sau erorilor de design, implementare, operare sau ntreinere a programelor (Bishop, 1999). Acestea fac un sistem mai susceptibil de a fi atacat cu succes i au fost definite dup cum urmeaz (inter alia): Un punct unde sistemul este susceptibil de a fi atacat (Kabay, 1996);

O slbiciune n sistemul de securitate care poate fi exploatat pentru a cauza un prejudiciu sau o pierdere (Pfleeger, 1997); O anumit slbiciune a unui sistem care permite violarea securitii sale (Summers, 1997). Controale: Acestea reprezint contramsuri pentru vulnerabiliti i trebuie s fie proporionale cu criticalitatea sistemului de informaii i probabilitatea producerii unui eveniment nedorit. Urmtoarele categorii de controale pot fi identificate: Controale disuasive, care reduc probabilitatea unui atac deliberat; preventive, care protejeaz mpotriva Controale vulnerabilitilor (acestea fac imposibile atacurile); Controale corective, care reduc efectele unui atac; Controale detective, care permit descoperirea atacurilor i declanarea de controale preventive sau corective; Controale recuperative, care permit restaurarea sistemului dup un atac. Ameninri i vulnerabiliti Tipuri de ameninri Ameninrile trebuie bine nelese pentru selectarea de msuri i controale de securitate adecvate (Panko, 2004). Castano i colab. (1995) clasific ameninrile n funcie de modul de producere: nonfrauduloase (accidentale) i frauduloase (intenionate). O alt clasificare posibil grupeaz ameninrile la adresa sistemelor de informaii n: Ameninri naturale: acestea sunt numite n industria asigurrilor ca for major (spre exemplu, incendiu, furtun, trznet, cutremur, inundaie) (DArcy, 2001); Ameninri accidentale: spre exemplu, proceduri executate incorect, cderi de electricitate, ruperea unui cablu, cderea unui disc etc; Ameninri intenionate: spre exemplu, sabotaj, acces neautorizat, folosirea sau tergerea neautorizat de informaii sau medii de stocare, plantarea de cai troieni informatici sau infectarea cu virui informatici etc. Buffam (2000) clasific ameninrile la adresa sistemelor de informaii n: Ameninri fundamentale; Ameninri care faciliteaz;

Ameninri indirecte. n general, atacatorul unui sistem de informaii computerizate va ajunge ntr-o poziie unde va reprezenta o ameninare fundamental prin folosirea unei ameninri care faciliteaz sau printr-o ameninare indirect. Ameninri fundamentale Ameninrile fundamentale reprezint ceea ce un atacator vrea sa fac. Aceste ameninri sunt categorizate de Buffam (2000) n divulgarea de informaii, alterarea de informaii, repudierea, refuzul serviciului i folosirea nelegitim i sunt discutate n subseciunile urmtoare. Divulgarea de informaii Informaii importante, care ar trebui sa rmn confideniale, sunt accesate i divulgate de ctre persoane neautorizate (sau de persoane angajate de persoane neautorizate) sau care i depesc atribuiile. Deoarece unele informaii au o valoare foarte mare, valoare care se diminueaz considerabil sau se pierde prin nclcarea confidenialitii, acest tip de atac poate avea consecine nefaste pentru organizaii. Alterarea de informaii Informaiile sunt introduse n sistem fr autorizare, modificate sau suprascrise de ctre persoane neautorizate (sau de persoane pltite de persoane neautorizate) sau care i depesc atribuiile. Deoarece unele decizii sau aciuni depinde decisiv de informaiile obinute, acest tip de atac prezint un pericol deosebit pentru organizaii. Repudierea Repudierea reprezint capacitatea sau aciunea unei persoane de a nega identitatea transmitorului, coninutul sau data efecturii unei comunicaii sau transmiterii unui mesaj electronic. Deoarece unele mesaje sau comunicaii electronice au o importan mare, este important ca organizaiile s asigure non-repudierea acestora. Refuzul serviciului (denial of service) Atacurile de acest tip consum resursele unui sistem de informaii computerizat, resurse destinate servirii utilizatorilor legitimi.

Exist dou sub-categorii principale de atacuri n aceast categorie: atacuri logice i atacuri de inundare (flooding attacks)2. Atacuri Denial-of-Service distribuite (DDoS) Reprezint un tip de atac n care sunt folosite zeci sau chiar mii de calculatoare compromise pentru a automatiza transmiterea de date care vor inunda sistemele vizate. Calculatoarele compromise sunt controlate de la distan prin plantarea, cel mai adesea, de cai troieni informatici, ceea ce produce un grup de calculatoare zombi (care vor aciona precum cei din legendele voodoo). Aceste atacuri sunt periculoase deoarece sunt foarte dificil de contracarat.

Figura 3 Reprezentarea unui atac Denial-of-Service distribuit (Panko, 2004) Folosirea nelegitim Informaiile sunt folosite de ctre persoane neautorizate sau n scopuri neautorizate. Deoarece unele informaii (spre exemplu, rezultatele unor cercetri sau detaliile unor clieni) pot avea o valoare
2 Atacuri cum ar fi Ping-of-Death exploateaz vulnerabilitile unor programe informatice pentru a cauza blocarea sistemelor sau scderea semnificativ a performanelor acestora. Inundarea (flooding) reprezint un alt atac din aceast categorie, prin care resursele unui sistem de informaii computerizat (UCP, memorie sau comunicaii) sunt bulversate prin trimiterea unui numr mare de solicitri false. Deoarece este foarte dificil s se fac o distincie ntre solicitrile reale i cele false, aceste atacuri pot fi foarte greu contracarate. Cel mai cunoscut atac de tip denial-ofservice este SYN flood, care const dintr-un ir de pachete TCP SYN (Synchronize) direcionate ctre un port TCP al sistemului atacat. Acest tip de atac poate mpiedica un sistem s schimbe date cu alte sisteme.

semnificativ, aceast aciune prezint un pericol important pentru organizaii. Ameninri care faciliteaz Dac sunt prezente msuri de securitate, atacatorii nu vor putea, n general, s treac direct la ameninrile fundamentale, deci vor executa ameninri care faciliteaz, pentru poziionare. Acest tip de ameninri reprezint ameninri care permit accesul la ameninrile fundamentale. Ameninarile care faciliteaz pot fi clasificate dup cum urmeaz: mascarada, programele maliioase, eludarea msurilor de securitate, violarea autorizrii (Buffam, 2000) i sunt discutate n subseciunile urmtoare. Mascarada (masquerade) Autentificarea identitii unui utilizator se bazeaz pe una sau mai multe dintre urmtoarele (Frisch, 1995): Ceva ce utilizatorul cunoate (spre exemplu, o parol secret); O caracteristic fiziologic sau nvat a utilizatorului (spre exemplu, impresiune digital, geometria palmei, schem retinal, ritmul tastrii sau sunetul vocii); Ceva ce utilizatorul posed (spre exemplu, un card magmetic sau cu chip). Mascarada este procesul prin care un intrus asum identitatea unui utilizator autorizat oricine care se afl n posesia caracteristicilor de identificare poate fi autentificat ca un alt utilizator (autorizat). Playback este un alt tip de mascarad, n care rspunsurile sau iniierile unei tranzacii de ctre un utilizator sau calculator sunt nregistrate discret i re-rulate, ca i cum ar veni de la utilizator. Inserarea de numere secveniale criptate n mesaje sau de tampile dat/timp poate contracara acest tip de mascarad. n atacurile cunoscute ca parodia IP (IP spoofing), atacatorii pretind a folosi un calculator de ncredere (dup adresa IP), exploateaz aparena existenei unei comunicaii ntre calculatoare care sunt folosite pentru atac pentru a obine acces la informaii senzitive sau pentru a rula programe privilegiate. Programe maliioase (malware) Codul maliios (malicious code malware) este clasificat, de regul, n funcie de metoda de penetrare a unui sistem de informaii, de propagare i de obiectiv, n urmtoarele categorii: cal troian informatic, virus informatic, back door, vierme informatic i spyware. Aceste categorii sunt discutate n subseciunile urmtoare (Vasiu i Vasiu, 2004a).

Cai troieni informatici Acest tip de program maliios va afia o anumit legitimitate, va poza ca ceva util sau autentic pentru a contamina un sistem de informaii computerizat. Numii dup vechiul mit n care rzboinici greci au invadat Troia prin pclirea troienilor cu o ofert de pace (calul troian de lemn, care a permis rzboinicilor s intre n cetate i s o cucereasc), caii troieni informatici pot avea funcionaliti ascunse utilizatorilor, care pot duce la inserarea sau alterarea de date, la formatarea discurilor, la interceptarea parolelor, la oprirea anumitor procese, la blocarea perifericelor .a., n unele cazuri auto-distrugnduse dup realizarea aciunilor maliioase. O clasificare a cailor troieni informatici este propus de Bontchev (1998): cal troian informatic regular, lansatori (droppers), injectori (injectors) i germeni (germs): Lansatori: Un cal troian informatic special prin aceea c instaleaz virui pe sistemul atacat; Injectori: Un cal troian similar unui lansator cu diferena c acest tip instaleaz cod distructiv n memoria unui sistem de informaii, nu pe disc; Germeni: Program produs prin asamblarea sau compilarea codului surs (sau a rezultatului unei dezasamblri sau decompilri) a unui virus sau a unui program infectat. Germenii mai sunt numii i prima generaie de virui (first generation viruses). Bomb logic informatic (Logic bomb) O bomb logic informatic este un set de instruciuni ntr-un program sau un program de sine stttor care determin condiiile sau starea n care o aciune care faciliteaz accesarea neautorizat a unui sistem de informaii, distrugerea de date sau alte aciuni neautorizate sunt declanate. Acest tip de program distructiv este folosit sau preferat de o anumit categorie de atacatori, care pot controla astfel cnd s fie declanat aciunea neautorizat. Bombele logice sunt adesea introduse ntr-un sistem de informaii prin intermediul unui cal troian. Virus informatic Viruii informatici au capacitatea de ataare la programe-gazd, de auto-replicare i de realizare de aciuni neautorizate (payload), adesea distructive. Deoarece efectele unei infecii cu viruii informatici pot fi foarte semnificative, n unele state (spre exemplu, California), infectarea sistemelor se pedepsete cu nchisoare sau amend.

Viruii informatici pot fi clasificai dup multe criterii: mediu de rspndire, sistem de operare, capaciti distructive, durata efectului, sfera de operare, vulnerabilitatea exploatat, mobilitate, modularitate etc. Amor (2000) clasific nivelul daunelor produse de virui dup cum urmeaz: Nivel 1: spre exemplu, afiarea de mesaje pe ecran, care nu cauzeaz daune semnificative; Nivel 2: afieaz mesaje pe ecran i previne executarea unor programme, dar daunele nu sunt permanente; Nivel 3: distrugere de informaii pentru programul infectat, fr a altera alte informaii; Nivel 4: distrugerea tuturor informaiilor, prevenirea operrii calculatoarelor etc. Back Door Mecanismele de securitate ale sistemelor de informaii computerizate sunt implementate pentru a preveni accesul neautorizat sau inserarea neautorizat de date sau programe. Back door este un mecanism care permite nclcarea restriciilor de acces sau scriere pe discuri, ceea ce permite violarea confidenialitii informaiilor, modificarea neautorizat a informaiilor, plantarea de cai troieni informatici etc. Vierme informatic Viermii informatici sunt adesea confundai cu viruii informatici. Chiar dac activitatea maliioas programat poate fi similar (spre exemplu, tergerea sau modificarea informaiilor), exist o diferen important: viermii informatici nu au nevoie de un program gazd pentru a se reproduce sau lansa n execuie (Vasiu i Vasiu, 2004a). Viermii informatici pot fi folosii pentru o varietate de aciuni distructive. Viermii informatici pot circula prin reelele informatice pentru a ataca/contamina alte sisteme. Acest tip de program a fost inventat, cu titlu de experiment, de John Socha i Jon Hupp de la Xerox, n Palo Alto, California n anul 1980, cu sperana c asemenea programe pot prelua o serie de sarcini administrative necesare ntr-o reea de calculatoare (unul dintre viermii lor cuta calculatoare nefuncionale i ncerca rezolvarea problemei). n minile unor persoane ru-voitoare, ns, viermii informatici pot cauza probleme semnificative (Vasiu i Vasiu, 2001).

Spyware Spyware este un program plasat pe un sistem de informaii fr acordul (informat) al utilizatorilor pentru a obine informaii despre sistem, pentru a captura ceea ce tasteaz utilizatorii, informaiile obinute fiind transmise dup obinere ctre cel sau cei care controleaz programul, urmnd a fi folosite pentru atacarea sistemului de informaii. Eludarea msurilor de securitate Msurile de securitate instalate pe sistemele de informaii, n unele cazuri pot funciona incorect sau incomplet sau se pot chiar bloca, ceea ce duce la posibilitatea accesrii neautorizate a unui sistem de informaii. Violarea autorizrii Aceast ameninare este asociat cu persoane care au un cont autorizat, dar care realizeaz aciuni neautorizate (spre exemplu, inserarea de informaii false sau tergerea de informaii vitale). Acest tip de atac este o ameninare asociat cu angajaii unei organizaii (insiders). Ameninri indirecte Dup cum argumenteaz Buffam (2000), acest tip de ameninri deriv din caracteristicile de baz ale Internet i ale infrastructuri informaiei. Urmtoarele sub-categorii pot fi detectate n cadrul acestei seciuni: interceptarea, scavenging, indiscreia i eroarea administrativ. Interceptarea Programele care permit adulmecarea parolelor (password sniffers, keyloggers) monitorizeaz i nregistreaz numele de utilizator i parolele asociate. Dup obinerea acestor informaii, atacatorii pot impersona un utilizator autorizat i accesa informaii confideniale, altera informaiile sau lansa diferite programe sau comenzi care pot produce daune (Vasiu i Vasiu, 2002). Scavenging Aceast aciune const n folosirea de utilitare pentru reconstituirea informaiilor de pe medii magnetice, dup ce acestea au fost terse sau suprascrise. O alt form a acestei aciuni const n cutarea de informaii care ar putea fi utile n couri de gunoi sau alte locuri unde sunt aruncate informaii imprimate pe hrtie (dumpster diving).

Indiscreia n aceast categorie sunt incluse aciunile care duc la deconspirarea parolelor sau tehnicilor de autentificare folosite, prsirea calculatorului fr ncheierea unei sesiuni de lucru sau social engineering naivitate vis--vis de ncercrile de obinere a parolelor prin tehnici de genul Am nevoie de parola lui X pentru a efectua operaiuni de configurare sau Sunt Y, am uitat parola. Eroarea administrativ Erorile de administrare ale unui sistem de informaii computerizat (spre exemplu, configurare greit, pstrarea unui cont de utilizator pe un sistem dup concedierea deintorului contului, setarea greit a autorizrilor etc.) pot crea posibilitatea declanrii de aciuni neautorizate sau obinerea de acces neautorizat. Vulnerabiliti i expuneri Prin vulnerabilitate se nelege orice fapt care prezint o problem din punct de vedere al securitii sistemului de informaii ntr-un anumit context. Vulnerabilitile sunt portiele prin care se manifest ameninrile. Common Vulnerabilities and Exposures dezvoltat de Mitre urmrete standardizarea vulnerabilitilor cunoscute. O vulnerabilitate universal este definit ca o stare ntr-un sistem de informaii care fie: Permite unui atacator s execute comenzi impersonnd un utilizator autorizat; Permite unui atacator s acceseze informaii contrar procedurilor de acces; Permite unui atacator s conduc un atac de refuz al serviciului (denial of service). Stoneburner i colab. (2001) prezint urmtoarele reguli de baz pentru atenuarea riscurilor asociate cu ameninari intenionale. Aceste reguli sunt aplicabile, cu excepia celei de a treia, i pentru atenuarea riscurilor naturale sau accidentale: Cnd o vulnerabilitate exist, trebuie redus posibilitatea ca respectiva vulnerabilitate s fie exploatat; Cnd o vulnerabilitate poate fi exploatat, trebuie implementat o protecie pe mai multe nivele i controale administrative care pot minimiza riscul sau preveni exploatarea vulnerabiliti;

Cnd costul unui atacator este mai mic dect ctigurile poteniale trebuie aplicat o protecie care descrete motivaia atacatorului prin creterea costului su; Cnd pierderea potenial este prea mare, trebuie aplicate protecii tehnice i non-tehnice care s reduc potenialul de pierdere. O expunere este o stare ntr-un sistem de informaii care nu este o vulnerabilitate universal dar care fie Permite unui atacator s realizeze activiti pentru colectarea de informaii despre sistem; Permite unui atacator s i ascund activitile (nelegitime); Include o funcionalitate care poate fi uor compromis; Este un punct de intrare pe care un atacator l poate folosi pentru accesarea sistemului sau a informaiilor; Este considerat o problem din punct de vedere al politicilor (procedurilor) de folosire ale sistemului de informaii. Concluzii Pe msur ce organizaiile devin din ce n ce mai dependente de buna funcionare a sistemelor de informaii computerizate, problema securitii acestor sisteme devine din ce n ce mai important (Kankanhalli i colab., 2003). Stoneburner i colab. (2001) sugereaz bazarea programelor de atenuare a riscului asociat cu sistemele de informaii computerizate pe urmtoarele: Angajarea activ a managerilor de vrf din cadrul organizaiilor; Suportul i participarea ntregului personal; Competena echipei nsrcinate cu analiza i atenuarea riscurilor; Cooperarea utilizatorilor, care trebuie s respecte procedurile de folosire i regulile de securitate; O evaluare continu a riscurilor. Riscul de atac electronic variaz n funcie de tipul de organizaie, potenialul pentru vulnerabiliti, diveri catalizatori, inhibitori i amplificatori. Cu toate c riscul de atac electronic asupra sistemelor de informai nu poate fi total eliminat, o abordare sistemic i un set de procese pentru atenuarea riscurilor care consider vulnerabilitile specifice fiecrei situaii (Austin i Darby, 2003) pot reduce semnificativ impactul unor atacuri sau chiar elimina anumite clase de atacuri.

Bibliografie Adams, J. and Thompson, M. (2002). Taking account of societal concerns about risk: framing the problem, Health and Safety Executive, Research Report 035 Amor, D. (2001). The E-Business (R)evolution: Living and Working in an Interconnected World (2nd Edition), Prentice Hall Austin, R. and Darby, C. (2003). The myth of secure computing. Harvard Business Review, 81(6): 120-126 Berryman, P. (2002). Risk Assessment: The Basics Bishop, M. (1999). Vulnerabilities Analysis, in Proceedings of the Second RAID Conference Blakley, B., McDermott, E. and Geer, D. (2002). Information security is information risk management, in Proceedings of NSPW, Cloudcroft, New Mexico, USA Bontchev, V. V. (1998). Methodology of Computer Anti-Virus Research, PhD thesis. University of Hamburg, Germany Buffam, W. J. (2000). The Fundamentals of Internet Security, Unisys Castano, S., Fugini, M., Martella, G. and Samarati, P. (1995), Database Security. Addison-Wesley Cohen, F., Phillips, C., Swiler, L. P., Gaylor, T., Leary, P., Rupley, F., Isler, R. and Dart, E. (1998). A Preliminary Classification Scheme for Information System Threats, Attacks, and Defenses: A Cause and Effect Model and Some Analysis Based on That Model, Sandia National Laboratories DArcy, S. P. (2001). Enterprise Risk Management. Journal of Risk Management of Korea, 12 (1) Frisch, E. (1995). Essential System Administration, Second Edition. OReilly & Associates, Inc., CA, USA Jacobson R. V. (1996). CORA Cost-of-Risk Analysis, in Proceedings of IFIP96 WG11.2. Samos, Greece Kabay, M. E. (1996). Enterprise Security: Protecting Information Assets. McGraw-Hill Kankanhalli, A., Teo, H.-H., Tan, B. C. Y. and Wei, K.-K. (2003). An integrative study of information systems security effectiveness. International Journal of Information Management 23: 139-154 Landwehr, C. E. (2001). Computer security. International Journal of Information Security, 1: 3 13 Loscocco, P. A., Smalley, S. D., Muckelbauer, P. A., Taylor, R. C., Turner, S. J. and Farrell, J. F. (1998). The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing

Environment. In Proceedings of the 21st National Information Systems Security Conference Neumann, P. G. (1995). Computer related risks. ACM Press Ozier, W. (1999). A Framework for an Automated Risk Assessment Tool, The Institute of Internal Auditors Panko, R. R. (2004). Corporate computer and network security. New Jersey: Prentice Hall Pfleeger, C. P. (1997). Security in Computing. Addison Wesley Schneier, B. (2000). Secrets and Lies: Digital Security in a Networked World. Wiley: New York Siponen, M. T. (2000). A conceptual foundation for organizational information security awareness. Information Management and Computer Security, 8/1: 31-41 Stallman, R. M. (1984). Letter to ACM Forum. Communication of the ACM, 27 (1), January: 8-9 Stoneburner, G., Goguen, A. and Feringa, A. (2001). Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology Straub, D. W. and Welke, R. J. (1998). Coping with systems risk: security planning models for management decision making. MIS Quarterly, 22, 4 : 441-64 Summers, R. C. (1997). Secure Computing: Threats and Safeguards. McGraw-Hill Vasiu, L. and Vasiu, I. (2004). Dissecting Computer Fraud: From Definitional Issues to a Taxonomy, in Proceedings of the 37th Hawaii International Conference on System Sciences, Hawaii, USA, IEEE Computer Vasiu, L. and Vasiu, I. (2004a). A Taxonomy of Malware Use in the Perpetration of Computer-related Fraud. In U.E. Gattiker (Ed.), EICAR 2004 Conference CD-rom: Best Paper Proceedings. Copenhagen: EICAR e.V. Vasiu, I. i Vasiu, L. (2001). Totul despre hackeri. Editura Nemira, Bucureti Wilsher, R. G. and Kurth, H. (1996). Security assurance in information systems. in Sokratis K. Katsikas i Dimitris Gritzalis (Eds.) (1996). Information Systems Security: Facing the information society of the 21st century, Chapman and Hall