Securitatea informaiei

CURS 1
Cuprins
Securitatea informaiei - introducere
Protecia informaiei
Autentificare
Criptare
Semnatur digital
Securitatea reelelor
Protocoale de baz: ARP, STP, IP, ICMP, DHCP, DNS
Protocoale de comunicaii: SSL/TSL, SSH
Vulnerabiliti
Atacuri, soluii
Securitatea serverelor, desktop
Firewall laborator
Virui, viermi, troieni
Securitatea aplicaiilor web
Vulnerabiliti
Atacuri, soluii
Securitatea informaiei
Confidentialitate (secrecy, privacy):
Acces la informaii doar a acelora care sunt autorizai.
Integritate:
Modificri ale informaiilor numai de ctre entiti autorizate i
folosind ci autorizate.
Disponibilitate:
Informaiile s fie disponibile doar pentru cei autorizai.
Probleme de securitate
Calculatoarele i reelele sunt atacate i pot suferi defectiuni.
Se pot bloca servicii online, se pierd miliarde.
Cine sunt atacatorii?
adolescenti, criminali, indivizi din crima organizat
ri inamice, spionaj industrial, angajati furioi, etc.
Cele mai mari atacuri se petrec din interior.
De ce fac asta?
Pentru distracie, faim, profit, rzbunare, spionaj etc.
Calculatoarele sunt acolo unde sunt i bani.
Cauzele problemelor
Bug-uri software i greeli de configurare.
Lipsa educaiei n securitatea informatiei.
Puine audituri de securitate.
Limbaje de programare nesigure.
Programatorii nu sunt ateni la problemele de securitate.
Cartile de programare nu explic problemele de securitate.
Clienii nu se preocup de securitate.
Securitatea face lucrurile mai greu de utilizat.
Securitatea este dificil, scump i consumatoare de timp.
Abordare
De la:
Securitatea este o problem tehnic, gestionat de echipa IT,
e o cheltuial suplimentar, se centreaz pe sisteme, se
abordeaz ad-hoc.
Ctre:
Securitatea este o problem organizaional, gestionat de
organizaie, este centrat pe procese, necesit investiii i un
management startegic.
Terminologie
Vulnerabiliti (weaknesses)
Ameninri (threats)
Scenarii poteniale de atac, atacuri
Control, audit
Msuri de securitate, prevenire
mpiedicare,deviere
Detectare
Recuperare
Principii de securitate
Principiul celei mai vulnerabile legturi
Principiul unei protecii adecvate
Scopul nu este s se maximizeze securitatea, ci s maximizeze
utilitatea, astfel nct s se limiteze riscul la un nivel acceptabil cu
cost rezonabil.
Principiul eficacitii
Controalele de audit trebuie facute corect astfel nct s fie eficace.
Principiul de aprare cuprinztoare n adncime, profunzime.
Securitatea prin lipsa de claritate (obscuritate) trebuie evitat.
Rolul auditului
Verificarea independent a modului n care se asigur
confidenialitatea, integritatea, i disponibilitatea informaiilor n
cadrul organizaiei.
Feedback privind eficiena masurilor de securitate implementate.
Cerin a afacerii(internet banking), cooperarea ntre organizaii.
Verificarea complianei cu standardelele n vigoare.
Activitate periodic.
Tipuri de audit:
Gap Analisys, Compliance Audit, Security Audit, Vulnerability
Scanning, Penetration Testing, Social Engineering.
Niveluri de securitate
Hardware.
Sisteme de operare.
Sisteme software, baze de date.
Aplicaii.
Computerele sunt conectate la reele.
Computerele sunt utilizate de utilizatori (oameni) - apar erori
umane.
Niveluri de securitate
Sistemul de operare
Permite utilizatorilor multipli s se conecteze la un computer.
Permite partajare n comun de procese, memorie, fiiere, servicii,
device-uri, etc.
Cum se realizeaz?
Prin izolarea proceselor.
Prin protecia memoriei.
Moduri procesor.
Autentificare.
Controlul accesului la fiiere.
Sistemul de operare
Cum se asigur operare sigur n reea?
Autentificare.
Controlul accesului.
Comunicatii sigure (folosind criptografia).
Elemente de logare i audit (verificare).
Prevenirea i deteca intruilor.
Recuperarea.
Sistemul de operare
Sistemul de operare si procesele utilizator trebuie sa aiba privilegii
diferite moduri de rulare ale procesorului
Modul sistem
Se mai numete priviligiat, master, supervisor, kernel. Poate executa
orice instruciune i poate accesa orice locaie de memorie, poate
accesa periferice, poate activa i dezactiva ntreruperi, poate accesa
unitatea de management a memoriei, modific registrii, execut
operaii de IO, etc .
Modul utilizator
Accesul la memorie este limitat, nu poate executa anumite
instructiuni.
Nu poate dezactiva intreruperi, nu poate accesa unitatea de
management a memoriei.
Trecerea de la modul utilizator la modul sistem se face prin apeluri
sistem speciale.
Mecanisme de securitate
Controlul accesului
Elemente de logare i audit (verificare)
Detecia intruilor
Recuperare
Se utilizeaz metode pentru validarea utilizatorului pentru a avea
acces la sistem sau resurse, pentru a se asigura c utilizatorul este
autorizat s utilizeze resursa.
Conturi de utilizatori cu parole (User accounts).
Carduri inteligente (smart cadrs).
Elemente de biometrie.
Ameninri asupra parolelor
Inginerie social, exploatarea factorului uman pentru a obine
accesul la sistem, se creaza scenarii, de regul prin email sau
telefon, oamenii dau parolele de bun voie.
Atacuri folosind cuvinte uzuale din dicionar (Offline dictionary
attacks).
ncercri de a ghici parola online .
Ascultarea discuiilor(eavesdropping).
Sniffing ascultarea reelei.
Social engineering bypasses all technologies, including firewalls.
Soluii
Prolele se pstreaz ntr-un fiier criptat.
Nu dai parola nimnui pe mail sau prin telefon.
Folosii parole lungi.
Schimbai periodic parola (expirare).
Sistemul trebuie s genereze parole n mod aleator.
S verifice calitatea parolei utilizatorului.
S verifice i s resping cuvinte uzuale gsite n dicionar.
S dea sugestii utilizatorului n alegerea parolei.
Sistemul trebuie s protejeze fiierul cu parole (criptografia &
controlul accesului).
Dezactiveaza contul dupa ncercri repetate i euate de
conectare.
S utilizeze parolele grafice combinate cu cele tastate.
S utilizeze i elemente( eventual biometrice ) de securitate
cum ar fi security-token, scanarea amprentei, scanarea retinei .
Elemente de Etic
Discutm despre vulnerabiliti i atacuri:
Multe vulnerabiliti au fost eliminate.
Mai exist multe posibiliti de atac care pot provoca daune.
Nu ncercai atacuri de la calculatorul de acas.
Ingineria social va funciona ntotdeauna, nu ncercai.
Scopul cursului
S nvai s prevenii atacuri de securitate.
Sa utilizai cunotinele nvate pentru scopuri oneste.
Hackeri celebri
David Smith A creat virusul Melissa: 20 luni nchisoare.
Ehud Tenenbaum (The Analyzer) :
A spart calculatoarele US DoD
A facut 8 luni de inchisoare
Dmitry Sklyarov:
A spart Adobe ebooks.
Arestat de FBI, a stat in inchisoare 20 de zile.