Sunteți pe pagina 1din 39

Cuprins

Introducere.....3
Cap. 1 Securitatea online......6
1.1 Componentele sistemelor crora li se asigura securitatea......6
1.1.1 Securitatea sistemelor Hardware......6
1.1.2 Securitatea sistemelor Software.......9
1.2 Ameninri i vulnerabiliti....12
1.3 Diminurile ameninrilor ...........19
Cap. 2 Analiza sistemului informaional n cadrul firmei S.C. Stef S.R.L........22
2.1 Prezentarea activitii firmei...22
2.2 Analiza i interpretarea situaiei financiare pe baz de indicatori..23
2.3 Analiz a sistemelor/tehnologiilor informaionale existente......25
Cap. 3 Analiza securitii din arhitectura sistemului informational.29
3.1 Descrierea paginii web a societii i gradul de accesibilitate a acesteia...29
3.2 Politici i instrumente de securitate a paginii web.30
3.3 Analiz comparativ a soluiilor existente cu soluii similare existente pe pia..32
Cap. 4 Tendine n securitatea Online..35
Concluzii...38
Bibliografie...39

Introducere

Hardware is easy to protect: lock it in a room, chain it to a desk, or buy a spare.


Information poses more of a problem. It can exist in more than one place; be transported halfway
across the planet n seconds; and be stolen without your knowledge. i - Bruce Schneier (Protect
Your Macintosh, 1994)
Aa cum afirma Bruce Schneier, specialist american n securitate informatic, atunci cnd
vorbim despre securitatea informaiilor disponibile n mediul online, problemele trebuiesc
abordate dintr-o perspectiv mult mai complex deoarece, n ziua de azi, orice informaie este
valoroas. Securitatea n mediul online preocupa tot mai muli utilizatori de Internet din ntreaga
lume. Este i firesc, din moment ce oamenii mprtesc o multitudine de informaii personale, la
care au acces i persoanele care creaz amentintari tot mai variate: virui, fraude, extragerea
informaiilor cu caracter personal i alte ameninri distribuite prin mediul online.
Confidenialitatea informaiilor n acest mediu a fost dintotdeauna o chestiune extrem de
important. Astzi, cnd datele sunt pstrate ntr-o msur tot mai mare pe calculator, care este
uor de protejat, folosirea i circulaia datelor depinde de mediul online, mai greu de protejat,
riscul pierderii sau furtului lor fiind tot mai mare.
Trim ntr-o lume din ce n ce mai conectat, iar accesul permanent la Internet a devenit o
necesitate mai degrab dect un privilegiu. Cu toii avem cel pu in un telefon cu conexiune la
internet, foarte muli avem chiar dou sau trei terminale ce ne in n permanen online. 1
Datorit conexiunii dintre aceste dispozitive vom putea s optimizm diferite procese astfel nct
s economisim mai mult, fie c vorbim de bugete, energie su timp, s accelerm dezvoltarea
tehnologiei sau s mbuntim stilul de via. n acest context, al creterii numrului de
dispozitive conectate la o reea, se evideniaz nevoia unei atenii sporite asupra securitii reelei
care va susine traficul generat. Odat cu dezvoltarea tehnologiilor i atacurile se nmulesc i
devin din ce n ce mai complexe.

1 ***, PullBars Internet Business Training, http://www.paulbarrs.com/importanceinternet-security, accesat pe 22.12.2015


2

Abordare acestei teme legate de securitatea mediului online presupune nelegerea


acesteia pe dou direcii principale, att a securitii informaiilor ct i a securitatea
operaiunilor ct i a atacurilor asupra acestora i s2oluionarea lor.
Lucrarea de fa este mprit n patru capitole i dorete detalierea mai amnunit att a ceea
ce nseamn i cuprinde securitatea mediului online,a problemelor existente la momentul actual
i soluiile aferente acestora, ct i o analiz asupra aplicabilitii acesteia n cadrul unei
companii i nu n ultimul rnd, tendinele ce vor urma din punct de vedere al securitii Online n
anul 2016.

2 Schneier, Bcuce, Protect your Macinthos, Paperback, August 1994


3

Cap. 1 Securitatea online

Termenul de Online se refer la condiia de a fi conectat la o reea de calculatoare sau


alte dispozitive. Termenul este deseori folosit pentru a descrie pe cineva sau ceva care este
conectat la Internet. Drept urmare, atunci cnd vorbim de online, vorbim despre Internet.3
Securitatea Internetului este o ramur a securitii calculatoarelor legate n mod specific la
Internet, care implic de multe ori securitatea browsing-ului, dar i a reelelor de securitate la un
nivel mai general. Obiectivul su este de a stabili norme i msuri de siguran pentru utilizare,
care s fie mpotriva atacurilor duntoare. Internetul reprezint un canal nesigur de schimb de
informaii care poate s conduc la un risc ridicat de intruziune sau fraud. Din aceast cauz
securitatea acestuia devine din ce n ce mai important, datorit proprietii intelectuale care
poate fi dobndit cu uurin prin intermediul lui.
n zilele noastre, realizm totul Online. Calculatoarele, laptop-urile sau smartphone-urile
noastre au devenit practic o extensie de-a noastr, deci asigurndu-ne c avem cea mai bun
securitate a Internetului este practic modul prin care tim c identitile, documentele i parolele
noastre nu sunt compromise.
Securitatea este o problem vital pentru toi utilizatorii de Internet, fie c sunt furnizori
de servicii sau utilizatori. n condiiile n care milioane de ceteni folosesc n mod curent reelele
de comunicaii i calculatoare pentru operaiuni bancare, cumprturi, plata unor taxe sau
servicii, problematica securitii este de o importan maxim.
Este surprinztor faptul c pe muli oameni nu i intereseaz sigurana pe Internet. Ei par
s cread c calculatoarele lor sunt invizibile, dar ndat ce ncep s utilizeze calculatoarele
pentru ceva care implic logarea pe Internet, ei devin practic o prad uoar.4
Putem spune c securitatea informaiilor este mai degrab o strategie ce cuprinde
procese,instrumente i politici necesare pentru a preveni, detecta, documenta i contracara
ameninrile adresate informaiilor digitale i non-digitale. Procesele i politicile implic, de
3***, TechTarget, http://searchnetworking.techtarget.com/definition/online, accesat
pe 19.12.2015
4 ***, PullBars Internet Business Training, http://www.paulbarrs.com/importanceinternet-security, accesat pe 22.12.2015
4

obicei, att msuri de securitate fizic ct i digital pentru a proteja datele de accesul
neautorizat, folosirea, replicarea sau distrugerea lor.

1.1 Componentele sistemelor crora li se asigura securitatea


Securitatea implica protejarea calculatoarelor i reelelor de ameninri precum malware,
hackeri etc., meninnd n acelai timp viaa privat pe Internet i pe sitemele fizice. Ambii
factori, fizici i digitali, sunt luai n considerare, deoarece fiecare dintre ei poate face ca
integritatea unui sistem s fie compromis. Scopul acesteia este de a reduce aceste riscuri ct mai
mult posibil i de a folosi contramsuri pentru a remedia problemele de securitate ct mai repede
posibil.
n cele ce urmeaz, vom ncerca s abordm problematica securitii din punct de vedere
al componentelor Hardware i Software i sistemele pe care acestea le vizeaz, att n mediul
Online ct i cel Offline.
1.1.1

Securitatea sistemelor Hardware

Domeniul este de o importan tot mai mare ca urmare a creterii dependen ei de


sistemele informatice n majoritatea societilor. Sistemele de calculatoare includ acum o
varietate foarte larg de dispozitive "inteligente", inclusiv smartphone-uri, senzori, televizoare i
dispozitive mici, ca parte a Internetului Obiectelor. Reelele includ nu doar Internetul i re elele
de date private, ci i reele de Bluetooth, Wi-Fi i alte reele fr fir.
Securitatea hardware, n general, consta n securitatea dispozitivelor fizice, incusiv a
sistemelor de servere, a

calculatoarelor i componentelor acestora, dar i a altor obiecte,

dispozitive de stocare externe sau portabile.5


Astzi, furtul de calculatoare i piererile de date sunt nite probleme care cresc pe zi ce
trece, att pentru utilizatori ct i pentru ntreprinderi, mari sau mici. Deoarece din ce n ce mai
multe documente importante, date personale sau financiare sunt stocate pe calculatoare, efortul
5 *** WiseGeek, http://www.wisegeek.com/what-are-the-different-types-of-computersecurity.htm, accesat pe 21.12.2015
5

nostru trebuie s fie n a mbunti i soluiona aceste probleme pentru a oferi o protecie mai
bun.
Statisticile cu privire la necesitatea proteciei mpotriva furtului calculatoarelor sau a
datelor spun c :
-

2 milioane de laptopuri sunt furate anual

1 din 10 laptopuri sunt furate

97% din calculatoarele furate nu sunt niciodat recuperate6


Securitatea hardware se refer la posibilitile de a preveni furtul, vandalismul i

pierderea sistemelor fizice. De aceea, identificm patru mari concepte:


a

securizarea accesului posibilitatea de a restriciona i urmri accesul la

a)

securizarea infrastructurii protejarea caburilor, echipamentelor de

acestea
telecomunicaii i dispozitivelor de reea gruparea pe ct posibil n locaii puternic
securizate a tuturor echipamentelor de comunicaie, camere de supravegheat cu
conectare wireless pentru zone greu accesibile firewall-uri la nivel hardware,
posibilitatea de a monitoriza modificarea cablrii i a echipamentelor intermediare de
comunicaie ex. monitorizarea switch-urilor, routerelor etc.;
b)

securizarea accesului la calculatoare folosind lacte pentru cabluri mai

ales pentru laptopuri carcase ce se pot nchide, eventual cutii securizate ce conin
unitile centrale ale desktop-urilor;
c)

securizarea datelor n special pentru prevenirea accesului la sursele de

date ca de ex. Hard disk-urile externe vor trebui inute n carcase prevzute cu lacte,
precum i dispozitive de siguran pentru stick-uri USB. De asemenea, Hard disk-urile,
suporturile de stocare i dispozitivele flash care conin informaii personale trebuie
protejate prin criptare, fapt care le mbuntete securitatea fcndu-le imposibil de citit
de ctre prile neautorizate.
Implementarea unei soluii de securitate foarte puternice este o procedur foarte dificil
ce implic de multe ori costuri foarte mari, ct i personal calificat i foarte disciplinat.

6 ***, McAfee for Consumer, http://home.mcafee.com/advicecenter/?


id=ad_itp_tiooaopp&ctst=1, accesat pe 19.12.2015
6

Accesul fizic este unul dintre factorii cei mai critici n securizarea sistemelor i reelelor
informatice. Chiar dac se iau msuri pentru a cripta datele sau a bloca accesul la reea, acestea
vor fi inutile dac cineva fur sistemul fizic, hardware, sau are acces direct la acestea. Securitatea
hardware se refer i la practici privind modul n care dispozitivele fizice i hardware sunt
utilizate i supravegheate. Mainframe-urile de servere care gzduiesc diverse reele sau site-uri
web pot fi de asemenea deteriorate, ducnd la pierderi de date sau ar putea fi atacate fizic printrun furt direct de informaii de la sistem prin transferul de date intre dispozitive.
Multe companii i persoane fizice ar trebui s fie contieni de consideraiile privind
diferitele tipuri de securitate informatic i furt fizic. Pe msur ce tehnologia calculatoarelor se
mbuntete, dispozitivele de memorie i stocare a datelor devin tot mai mici. Acest lucru
nseamn c cineva poate fura un singur desktop sau laptop de la o companie sau de la o
persoan i s obin o cantitate foarte mare de date sau informaii care ar putea fi private.
n aceast component a securitii putem include i alte sisteme, a cror securitate este
esenial n industriile n care sunt utilizate:
n cadrul sistemelor financiare este important securitatea sistemelor de
plat i a ATM-urilor, care pot fi falsificate n scopul de a colecta date bancare, coduri
PIN sau din cauza potenialului de ctig financiar imediat prin transferurile de bani sau a
vnzrii informaiilor pe piaa neagr.
n

cazul

utilitilor

echipamentelor

industriale,

calculatoarele

controleaz mai multe funcii precum coordonarea telecomunicaiilor, a reelei electrice,


centralelor nucleare, precum i de deschidere a supapei de nchidere n reelele de gaz sau
ap. Chiar i dac aceste echipamente nu sunt conectate la Internet, ele pot fi vulnerabile
la daune fizice cauzate de comenzi maliioase trimise echipamente industriale care sunt
infectate prin intermediul dispozitivelor detaabile.
n industria aviatic exista o serie de sisteme complexe care ar putea fi
atacate. O simpl pn de curent la un aeroport poate provoca repercusiuni la nivel
mondial. O mare parte a sistemului se bazeaz pe transmisii radio, care ar putea fi
perturbate. Consecinele unei atac de succes duce de la pierderea confiden ialitii pn la
pierderea integritii sistemului, ceea ce poate duce la probleme mai grave, cum ar fi
exfiltraii de date, ntreruperi de control al traficului aerian de reea i, care, la rndul lor,

pot duce la nchideri de aeroport, pierderea de aeronave, pierderi de viei omene ti, daune
pe teren i a infrastructurii de transport.
Dispozitivele de consum precum computerele desktop i laptop-urile sunt
de obicei infectate cu malware, fie pentru a aduna parole sau informaii de natura
financiar, fie pentru a construi un atac botnet pentru a ataca alt int. Telefoane
inteligente, tabletele, ceasurile inteligente i alte dispozitive mobile, cum ar fi
dispozitivele GPS au devenit, de asemenea, inte i multe dintre acestea au senzori
precum camere, microfoane,busole i accelerometre care ar putea fi exploatate pentru
colecta informaii personale. Wifi-ul, Bluetooth-ul i reeaua de telefonie mobil pe
oricare dintre aceste dispozitive poate fi utilizat ca vector de atac, iar senzorii ar putea fi
activai de la distan dup o bre de securitate de succes.
n cazul automobilelor, dac accesul este dobndit la reeaua intern de
control al mainii, este posibil s dezactivai frnele i s roti i volanul. Computerul de
bord, cruise control-ul, ABS-ul, dispozitivele de pretensionare a centurilor de siguran,
ncuietorile pentru ui, airbag-urile i sisteme avansate de asisten la volan fac aceste
ntreruperi posibile ceea ce ar duce la punerea n pericol a siguranei i securitii omului.
Mainile inteligente pot folosi Wifi i Bluetooth pentru a comunica cu dispozitive din
bord, dar i reeaua de telefon mobil pentru a contacta servicii de asisten sau de
urgen . Fiecare dintre aceste reele reprezint o bre poteniala pentru malware sau
atacatori.
Infrastructurile locale sau regionale, precum controlul semafoarelor,
sistemele de comunicaii, telefonie etc. sunt, de asemenea, inte poteniale deoarece
acestea sunt acum n mare msur computerizate.
Putem concluziona c pericolele existente n ziua de astzi sunt nite ameninri n curs
de dezvoltare, prezenta sistemelor Hardware n gospodarii, sisteme financiare, sisteme militar
sau diverse alte aplicaii informaionale provaca o stare de ameninare continua, care crete de la
zi la zi. Datorit unei complexiti mri a ciclului de via a dezvoltrii sistemelor Hardware,
acesta devine un factor de nencredere n ceea ce privete securitatea.
1.1.2

Securitatea sistemelor Software

Securitatea software face referire la protecia i securitatea serverelor, securitatea


sistemelor mpotriva viruilor i altor programe duntoare precum i securitatea datelor prin
prevenirea furturilor acestora.
Menirea securitii acestor sisteme este de a nlocui i eventual de a mbunti soluia de
tip Hardware. Astfel i soluiile software se pot organiza ntr-un mod asemntor, cu precizrile
urmtoare :
a) La nivelul accesului se pot folosi sisteme de monitorizare, folosindu-se coduri
de acces, camere de supraveghere cu detecia micrii
b) La nivelul instrastructurii se pot folosi programe firewall, sisteme de
monitorizare a reelei n vederea detectrii de modificri la nivel de cablri, schimbri de
configurare, declanri de alarme etc.
c) La nivel de date exista posibiliti de backup automate, pstrarea acestora n
diferite locaii, programe de criptare etc;
d) La nivelul calculatoarelor IDS (Intrusion Detection Systems) care pot
monitoriza modificrile din cadrul codului programelor i sesizeaz activitatea
neobinuit a reelei, folosirea de aplicaii de detectare a elementelor de tip malware
(programe antivirus): virui, spyware, adware etc.
Un alt factor important n securitatea la nivelul calculatoarelor l reprezint securitatea
sistemelor de operare. n cazul n care orice atacator preia controlul calculatorului unei persoane,
el poate prelua controlul asupra sistemului de operare al acestuia, poate fura date sau distruge
informaii importante. Breele de securitate sunt gsite n cele mai comune sisteme de operare,
astfel nct comercianii lanseaz periodic patch-uri pentru a mbunti securitatea sistemelor.
Viruii i spyware-ul, de asemenea, prezint un risc pentru multe sisteme de operare, astfel nct
este nevoie de softuri de protecie mpotriva acestora pentru prevenirea pierderii datelor i a
accesului neautorizat. n cazul n care un calculator se afla ntr-o zon cu muli oameni n jurul
lui, utilizatorii ar trebui s foloseasc parole complexe pentru a preveni utilizatori neautorizai s
fac schimbri sau s citeasc date sensibile pe calculatoarele lor.
Fraudele pe Internet provin din toate mediile sau categoriile de vrst i pentru un
oarecare motiv simt nvoia de a pota programe maliioase pe Internet pentru a provoca daune
serioase. Prin urmare, foarte muli oameni devin victime deoarece ei nu au avut o securitate pe
Internet adecvat. Asta nseamn c ei pierd toate documentele importante, i pierd sistemele de
9

operare iar calculatoarele lor nici mcar nu vor mai porni. Din acestea rezult faptul c tot
calculatorul va trebui curat, formatat i reinstalat complet, un inconvenient pe care nimeni nu
vrea s l suporte.
Securitatea aplicaiilor web este o ramur a securitii mediului online, care se ocupa n
mod special de securitatea site-urilor web, aplicaiilor web i serviciilor web. La un nivel ridicat,
securitatea aplicaiilor web se bazeaz pe principiile de securitate a aplicaiilor, dar le aplic n
mod specific la sistemele de Internet i Web.
La nceputul Internetului i n general a informaiilor pstrate de computer, numrul
persoanelor ce puteau s svreasc fapte ilegale era imens. Tehnicile de pstrare a informaiilor
erau simple i nu prea dezvoltate. O dat cu trecerea timpului tehnologia, i o dat cu ea,
securitatea, s-a dezvoltat. O dat cu aceasta i tehnicile de exploatare a breelor de securitate s-au
dezvoltat, aprnd metode de atacuri din ce n ce mai complexe. Cu creterea complexitii s-a
micorat numrul persoanelor ce puteau folosi una din tehnicile complexe. Putem vedea modul
n care au evoluat atacurile n ultimii 30 de ani, pornind de la Ghicirea parolei n anii 85 i
ajungndu-se pn la exploatarea API-urilor aplicaiilor WEB 2.0

Fig. 1.1 Evoluia atacurilor WEB

Dar de ce a sczut att de mult numrul de persoane ce sunt n stare s exploateze


vulnerabiliti? Este aproape de la sine neles. n urm cu 20 de ani nu existau tehnicile de
pstrarea a informaiilor actuale, majoritatea site-urilor inndu-i informaiile necriptat. Pe
10

parcurs acestea au nceput s se fereasc de diverse atacuri, ns cu ct ne ferim de unele apar


altele. Mai jos avem o imagine care arat paii prin care un atacator trebuie s treac pentru a
spune c are toate informaiile de pe un server i nu numai .

Fig. 1.2 Web 2.0 Hacking

Aplicaiile web sunt, probabil, cele mai frecvente servicii expuse de ctre companiile i
instituiile de pe Internet. De asemenea, cele mai multe aplicaii vechi au acum i o variant web.
Aceast transformare masiv face securitatea web o parte important a securitii mediului
online. Idea de baz a securitii web este foarte simpl: nu trebuie s ai ncredere n client.
Majoritatea informaiilor primite de ctre server pot fi falsificate de ctre acesta. De aceea, este
important s filtrezi toate informaiile pentru a nu aprea probleme. Nerespectarea acestei reguli
poate duce la compromiterea sistemului, pierderi financiare, scurgeri de informaii confideniale
etc.7
Care sunt ricurile celor care stau la baza securitii unei aplicaii ? Riscurile sunt foarte mari, mai
ales n situaiile n care sunt pui bani muli pui n joc. n general odat cu penetrarea securitii
lucrurile ce pot degenera de aici sunt extrem de periculoase. Se poate ajunge la lucruri precum
erori n securitate, exploatarea acestora, crearea de reele de boi, phishing etc. S
S nu uitm i de riscurile celor care se ocupa cu penetrarea securitii. Acetia sunt
supui la riscuri din ce n ce mai mari, odat cu crearea unor legi ce se ocupa i de crim
organizat ce are loc Online.
7 *** PAWNTCODE, Despre Aplicatiile web , http://beta.pwnthecode.org/, accesat la
28.12.2015
11

Exist diverse moduri pentru a se ajunge la informaiile cutate, cum exist diverse
scopuri ale hackerilor, de la umilirea companiilor mari, pn la a afla informaii informaii
banale despre victime sau chiar la a enerva utilizatorii cu alarme false pentru a cumpra
produse inexistente.
Cea mai sigur metod de a combate toate acestea este de a cumpra un program bun de
securitate pentru Internet, program ce va nltura imediat viruii, ce i va da sfaturi cu privire la
site-urile navigate pe Internet,care pot fi ru intenionate sau nu, i care face scanri periodice a
calculatorului pentru a detecta orice materiale duntoare care pot compromite att calculatorul
ct i utilizatorul.
1.2

Ameninri i vulnerabiliti
Securitatea este o component fundamental a fiecrei reele. Cnd planifici,

construieti sau foloseti o reea, trebuie s nelegi importana unei politici de securitate
puternice, mai ales cnd vine vorba de Intenet.
Odat cu dezvoltarea reelelor, ameninrile la adresa securitii acestora a crescut
semnificativ. S-au descoperit multe vulnerabiliti de reea, iar pentru c acum se pot descrca
aplicaii care necesit puine cunotine pentru a le pune n aplicare, aplicaiile destinate pentru
depanare, meninere sau optimizare a reelelor pot, n mini greite, s fie utilizate cu rea intenie
i pot reprezenta ameninai grave.
Sistemele informatice i reelele ofer inte atractive i ar trebui s fie rezistente la
atacul ntregii gamei de ameninri. Un sistem trebuie s fie capabil s limiteze daunele i s se
recupereze rapid atunci cnd apar atacuri.
Printre principalele tipuri de ameninri despre care vom vorbi, putem enumera:
a) Clase de atac: atacuri active i pasive de reea, atacuri close-in, exploatarea din
interior, atacuri hijack, spoof, buffer, exploit, phishing-ul, spargerea parolelor;
b) Software - urile malware;
c) Hackerii.
a) Clase de atac

12

v Atacurile pasive : un atac pasiv monitorizeaz traficul necriptat i cauta


parole-text clare i informaii sensibile care pot fi utilizate pentru alte tipuri de atac.
Atacurile pasive includ analiza traficului, monitorizarea comunicaiilor neprotejate,
decriptarea traficului slab criptat i capturarea informaiilor de autentificare, cum ar fi
parolele. Interceptarea pasiv a operaiunilor de reea permit adversarilor s vad
aciunile viitoare. Atacurile pasive duc la divulgarea de informaii sau de date ctre
atacator, fr consimmntul sau cunotina utilizatorului
v

Atacurile active: ntr-un atac activ, atacatorul ncearc s sparg sistemul

securizat. Aceasta poate fi realizat prin intermediul viruilor, viermilor sau cailor troieni.
Atacurile active includ ncercrile de a eluda sau de a sparge protecia, prin introducerea
unor coduri maliioase i pentru a fura sau modifica informaiile. Aceste atacuri sunt
realizate asupra scheletului reelelor, pentru a exploata informaiile tranzitate sau pentru
a ptrunde sau ataca un dispozitiv conectat la acestea. Atacurile active duc la divulgarea
sau difuzarea fiierelor de date, Dos sau modificarea acestora.

Amenintarile securitatii

Atacuri
pasive

Atacuri
active

Intrerupere
a
disponibilit

Modificare
a
integritatii

Crearea
autenticit
atii

Expunerea
inf.
confidentia

Analiza
traficului

Fig. 1.3 Structura atacurilor

Atacurile distribuite: un atac distribuit necesita introducerea unui cod de

ctre atacator, precum caii troieni sau programele back-door, ntr-o component sau un
software de ncredere, care ,mai trziu, va fi distribuit altor companii i utilizatori.
Atacurile distribuite se focalizeaz pe modificrile maliioase ale hardware-ului sau
software-ului n fabric sau n timpul distribuirii. Aceste atacuri introduc coduri
13

maliioase precum back-door ntr-un produs pentru a dobndi acces neautorizat ctre
informaii sau ctre funciile unui sistem.

Atacurile din interior: un atac din interor implica pe cineva din interor,

precum un angajat nemulumit, care atac reeaua. Aceste atacuri pot fi sau nu maliioase.
Cele maliioase trag cu urechea, fura sau deterioreaz informaiile, utilizeaz
informaiile ntr-un mod fraudulos sau refuz accesul altor utilizatori autorizai.

Atacurile Close-in : aceste atacuri implica pe cineva care ncearc s

ajung fizic aproape de componentele reelei, a datelor sau sistemelor cu scopul de a


nva mai multe despre reea, sau de a modifica, obine sau a refuza accesul la
informaie. Unul dintre formele populare de atac este atacul unei tehnologii sociale, n
care atacatorul compromite reeaua sau sistemul prin interaciunea social cu o persoan,
prin e-mail sau telefon. Trucuri variate pot fi folosite de ctre indivizi pentru a dezvlui
informaii despre securitatea companiei. Informaia pe care victimele o dezvluie
hackerilor este folosit n general ntr-un atac ulterior pentru a obine accesul neautorizat
ctre sistem.

Atacurile phishing : n atacurile phishing, hackerii creeaz site-uri web

false care arata exact ca site-urile populare precum cele ale bncilor sau paypal. Partea de
phishing din atac este ca hackerul trimite un e-mail prin care ncearc s pcleasc
utilizatorul i s-l fac s apase pe un link care n redirecioneaz ctre site-ul fals. Atunci
cnd utilizatorul ncearc s se logheze cu informaiile contului lor, hackerul nregistreaz
username-ul i parola apoi le ncearc pe site-ul real.

Atacurile Hijack : ntr-un atac hijack, hackerul preia controlul unei sesiuni

dintre utilizator i alt persoan, deconectnd cealalt persoan din comunicaie.


Utilizatorii nc pretind c vorbesc cu persoana n cauz, acetia putnd s trimit
informaii cu caracter personal din greeal ctre hackeri.
14

Atacurile Spoof : n atacul spoof, hackerul modifica adresa sursa a

pachetelor pe care el sau ea le trimite nct s par c provin de la altcineva. Aceasta ar


putea fi o modalitate de a ocoli regulile firewall-ului.

Atacurile Buffer overflow: aceasta apare atunci cnd atacatorul trimite mai

multe date ctre o aplicaie dect este ateptat. Rezultatul este, de obicei, dobndirea
accesului administrativ ctre un sistem.

Atacul Exploit : n acesta, atacatorul cunoate problem de securitate din

cadrul unui sistem de operare sau a unei pri de software i valorifica aceasta prin
exploatarea vulnerabilitii.

Atacurile parolelor: atacatorul ncearc s sparg parola stocat ntr-o baz

de date dintr-o reea sau a fiierelor protejate. Exist 3 tipuri mari de atacuri ale parolelor:
atac dicionar, atac cu fora brut i atac hybrid. Un atac dicionar utilizeaz un fiier lista
de cuvinte, care este o list cu posibile parole. Un atac cu fora brut este atunci cnd
atacatorul ncearc toate combinaiile de caractere posibile.

Crimele comise prin intermediul acestor atacuri ne afecteaz att personal, ct i


profesional, financiar su emoional, fapt care ne face s realizm c indiferent de locul unde ne
aflam, sau dispozitivul pe care l folosim, nimeni nu este imun la aceste atacuri Online.

b) Software-urile Malware
Software-ul ru intenionat (numit adesea malware) este un tip de software proiectat
intenionat pentru deteriorarea unui computer sau infiltrarea n el, sau/i deteriorarea ori
infiltrarea n ntregi reele de computere, fr consimmntul proprietarului respectiv. Noiunea
15

se utilizeaz generalizat de ctre informaticieni pentru a desemna orice form ostil, intruziv
sau suprtoare de software sau cod de program. Termenul de virus din domeniul computerelor
este uneori utilizat pentru a desemna nu numai viruii informatici, ci i toate formele de software
ru intenionat. Malware-ul poate fi ascuns, destinat pentru a fura informaii sau poate spiona
utilizatorii de computere pentru o perioad mai lung, fr tirea lor (ca de exemplu Regin) sau
pot fi proiectate pentru a provoca daune, ori sabotaj (de exemplu Stuxnet), sau pentru a stoarce
plile efectuate (CryptoLocker). Malware este un termen generic folosit pentru a desemna o
varietate de forme de software ostile sau intruzive, inclusiv virui, viermi, cai troieni, spyware
ransomware, adware, scareware, i alte programe malware. Aceasta poate lua forma de cod
executabil, script-uri, coninut activ i alte software-uri.

Fig. 1.4 Categorii Malware

Potrivit statisticilor anului 2011 oferite de ctre PandaLabs, troienii au stabilit un nou
record n a deveni categoria preferat pentru infractorii cibernetici pentru furtul de informaii,
reprezentnd 74% din toate malware-urile. Viermii ocup locul al doilea, cuprinznd 9,3 %,
urmat de virui cu 6,43 % .
Malware-ul este adesea deghizat sau incorportat, n fiiere non-malware. Cele mai
cunoscute tipuri de malware, virui i viermi, sunt cunoscute pentru modul n care s-au rspndit.
Viruii sunt programe care se ncorporeaz ntr-un alt software executabil (inclusiv n
sistemul de operare propriu-zis) pe sistemul int, fr consimmntul utilizatorului i n
momentul n care este rulat face c virusul s se rspndeasc la alte executabile. Pe de alt
parte, un vierme este un program malware autonom care se transmite n mod activ ntr-o re ea
pentru a infecta alte calculatoare. Prin urmare putem deduce c un virus cere utilizatorului s
ruleze un program infectat sau un sistem de operare pentru c virusul s se rspndeasc, n timp
ce un vierme se rspndete singur.

16

Fig. 1.5 Evoluia Malware

Statisticile arat ca n anul 2010 s-a ajuns la un numr remarcant de aproximativ 60


milioane de software-uri Malware.
Motivaia din spatele Malware s-a schimbat pe parcursul anilor. Dac ne uitm napoi la
cele mai mai timpurii, cazurile Malware au fost dezvoltate mai degrab pentru a necji, ci nu
pentru a inteniona ceva mult mai serios. Lucrurile s-au schimbat n mod semnificativ de-a
lungul anilor, rufctorii acum dezvoltnd Malware pentru un anumit scop. Malware este folosit
pentru a face bani sau este o modalitate prin care s poi cpta putere prin distrugere sau furt de
informaii inteligente, de aceea este recomandat s lum msuri de precauie mpotriva acestora.
Malware a ajuns s fie o parte din viaa informatic din ziua de astzi. Cu ct
cercettorii ncearc s elaboreze msuri de contraatac mpotriva lor, cu att dezvoltatorii de
Malware vor dezvolta noi programe i vor gsi noi metode de a ne infecta sistemele, aadar
goana soarece-pisica va continua.
c) Hackerii
Se spune despre hackeri c sunt pasionai ai informaticii care se ocup n special cu
spargerea codurilor unor sisteme informatice. Asocierea cuvntului hacker (expert n
calculatoare) cu operaiuni imorale i/sau ilegale este doar ntre urechile publicului larg, care a
rmas cu impresia greit c hackerii (n general) ar fi nite infractori. Se pot deosebi
urmtoarele sensuri specializate ale cuvntului hacker:
-

cineva care cunoate foarte bine un limbaj de programare su mediu de programare,

astfel nct poate scrie un program fr niciun efort aparent;

17

- cineva care inventeaz, proiecteaz, dezvolt, implementeaz, testeaz sau


mbuntete o tehnologie;
-

cineva care ofer soluii neconvenionale dar adecvate mpotriva exploiturilor, erorilor

i ale unor alt fel de probleme, cu ajutorul mijloacelor disponibile.


n schimb, exista i o alt categorie de hackeri care comit infraciuni, numii crackeri.
Diferena esenial este: hackerii construiesc, crackerii distrug.
Lumea hackerilor a devenit o adevrat subcultur care evolueaz, difereniindu-se i
devenind tot mai complex. Astfel, a aprut o clasificare a acestora:
Hackerii white hat sunt hackerii "buni", hackerii oneti, hackerii etici, ce
opereeaz respectnd un cod etic neoficial i care, graie priceperii lor, ajung s fie
implicai n dezvoltarea siguranei sistemelor informatice sau chiar n combaterea fraudei
informatice, uneori fiind angajai n aceste scop, chiar de organizaii guvernamentale sau
de mari firme din domeniul IT. i ei sparg uneori parole i ptrund n sistemele
informatice (de capul lor sau n cadrul unui contract), dar fr a le vtma cu nimic;
semnaleaz proprietarilor deficienele sistemului i propun soluii de remediere (eventual
le i implementeaz).
La antipodul acestora se gsesc hackerii black hat , sau crackerii, infractorii,
bieii ri care sparg conturile i fur bani.
Cum n orice exist o cale de mijloc, au aprut i nite hackeri grey hat care sparg
sisteme vulnerabile, ntiinndu-i apoi pe administratori c le-au "hackuit" reeaua i
oferindu-se s repare stricciunea n schimbul unei sume de bani.
Sunt, apoi, aa-numiii blue ht, informaticieni experi care atac din afar
sistemele, nainte de punerea acestora n funciune, ntr-un scop util - s depisteze
problemele i s le rezolve, astfel nct s poat ntri securitatea acestora, lsnd ct mai
puine ci de acces vulnerabile la atacuri.
O categorie aparte o reprezint hacktivitii (termen rezultat din contragerea
cuvintelor hacker + activist), care se infiltreaz n sisteme informatice pentru a-i
promova astfel ideile, concepiile - un tip de activism social sau motivat politic, realizat
prin explotarea - ilegal - a imenselor posibiliti oferite de internet.

18

Ce anume pot face crackerii? Din nefericire, o mulime de lucruri rele: interceptarea
transmisiilor confideniale de date, tergerea sau modificarea unor date, intervenii n utilizarea
unor dispozitive controlate cu ajutorul sistemelor informatice. Asemenea activiti se pot traduce
n furt de bani, furt de identitate, fraud, escrocherie, violarea dreptului la privacy, antaj,
hruire exploatare sexual etc.
Obinnd accesul la informaii confideniale (de exemplu numere de cri de credit),
crackerii pot goli conturile bancare sau pot folosi informaiile astfel obinute pentru antaj, pot
hrui sau escroca oameni obinuii, lipsii de aprare. Virusnd calculatoarele altor utilizatori, le
pot ntrebuina pentru tot felul de activiti ilegale, inclusiv pentru a gzdui pornografie, n
scopul ctigului financiar personal.
1.3

Diminurile ameninrilor
n ziua de astzi, nu trebuie s avem grij doar de calculatoarele noastre, ci i de felul n

care manevram indentitatea noastr Online.


Oamenii sunt din ce n ce mai contieni de pericolele de pe Internet i folosind
conexiunile acestuia disponibile n ntreaga ar, ei se expun singuri la aceste pericole nedorite,
acesta fiind motivul pentru care sunt luate n serios securitatea lui. Nerespectnd msur
necesar, ei se pot alege cu conturile sparte, calculatoarele terse sau chiar conturile bancare
golite.
De aceea, nu mai este o chestiune de dac, ci de cnd vor avea o problem. Drept
urmare , trebuiesc luate anumite contramsuri pentru prevenirea sau diminuarea ameninrilor.
Necesitatea realizrii unei stri de securitate a sistemelor i reelelor, prin utilizarea celor
3 procese: prevenirea ameninrii, detectarea i rspunsul, reprezint un proces elementar, bazat
pe diferite politici i componente, care includ:
Controlul accesului utilizatorilor i criptografia, care pot proteja fiierele i datele
din sistem (tehnologii VPN)
Firewall-urile sunt de departe cele mai cunoscute sisteme de prevenire din
perspectiva securitii reelelor , deoarece ele pot proteja accestula la serviciile de reea
interne i pot bloca anumite tipuri de atacuri prin filtrarea pachetelor. Acestea pot fi
bazate att pe hardware ct i pe software.
19

Produsele Intrusion Detection System (IDS) sunt concepute pentru a detecta


atacurile de reea n curs de dezvoltare sau asistent, n timp ce pistele de audit i
jurnalele servesc o funcie similar pentru sistemele individuale
IPSec sau protocolul de securitate IP, este un cadru de standarde deschise pentru
asigurarea comunicaiilor private securizate pe Internet. IPSec asigur confidenialitatea,
integritatea i autenticitatea comunicaiilor de date printro reea public, fiind o
component tehnic cheie pentru o soluie de securitate total.
Software-ul antivirus, care

este folosit n general pentru prevenirea i

eliminarea viruilor de computer, viermilor i cailor troieni. De asemenea, poate detecta


i elimina adware, spyware i malware ( ex: Karsperksy, Eset Nod32, Norton Antivirus,
Avira, Bitdefender etc).
n concluzie, riscurile conectrii la internet sunt reale: furtul de secrete de afaceri, de
informaii despre clieni,bani etc. Pe lng acestea sunt importante i riscurile indirecte: pierderea
clienilor, duna adus mrcilor, pierderea bunvoinei.
Pe ct de riscant este conectarea la Internet, companiile nu au de ales i trebuie s
conecteze reelele lor interne la restul lumii (la Internet): clieni, furnizori, parteneri sau chiar
proprii lor angajai. Dar, o dat cu aceast legtur, vin noi ameninri, cum ar fi hackerii, spionii
industriali etc. Acestea fur regulat bunuri ale corporaiilor i bunuri intelectuale, cauzeaz cderi
ale sistemului, pngresc mrci ale corporaiilor i ndeprteaz clienii acestora. Dac nu sunt
evitate aceste ameninri, companiile nu voi putea utiliza la maxim potenialul Internetului. Sunt
dou domenii cheie ce trebuie luate n considerare: accesul utilizatorului i tranzitul ( asigurarea
faptului c datele ajung n siguran la destinaie).
Dezavantajul conectrii la o astfel de reea este c exist i persoane fr intenii bune.
Produsele de securitate nu vor rezolva toate problemele de securitate n Internet. Cel mai bun
lucru pe care l putem face este s gestionm riscurile. Cheia securitii eficiente este intervenia
uman. Oamenii trebuie s recunoasc i s rspund la noi atacuri i ameninri. Este vorba de
fapt de stabilirea unui echilibru: minile umane sunt atacatorii, deci minile umane trebuie s fie,
de asemenea, i protectorii.8
8 *** Securitatea Informatica, http://www.securitatea-informatica.ro/securitateainformatica/securitatea-retelelor/securitatea-internetului, accesat la data de
20

Cap. 2 Analiza sistemului informaional n cadrul firmei


S.C. Stef S.R.L

n cadrul acestui capitol se va realiza o prezentare a societii comerciale SC. Stef SRL, a
situaiei financiare a acesteia, precum i o particularizare a arhitecturii sistemelor informaionale
existente.

2.1 Prezentarea activitii firmei


nfiinat n anul 1992 n oraul Iai, judeul Iai, Stef este o societate privat, cu
rspundere limitat ce este mprit pe mai multe puncte de lucru oferind diferite servicii,
precum: servicii de editur i tipografie digital, multiplicri, listri, servicii de scanare i
legtorie. Cu toate acestea, principala sa form de activitate este reprezentat de serviciile
privind multiplicarea i listarea, precum i comerul cu ridicat al echipamentelor de birou.
Structura organizatoric a societii este una de tip funcional
Societatea comercial aleas spre analiz are ca i principali furnizori, n ceea ce prive te
copiatoarele, firma Konica Minolta Romnia, iar n ceea ce privete materialele folosite pentru
multiplicare, acetia colaboreaz cu firme precum: Concret Consult, Antalis i Europaper.
S.C tef S.R.L colaboreaz, n general, cu clienii acesteia pe baz de contract. Aceste contracte
sunt fie pe perioade mai mari, de un an, n cazul clienilor mari, care au comenzi n fiecare lun,
n care sunt specificate detalii privind drepturile de autor i privind termenele de plat, fie pe loc
cum se ntmpl cu clienii mici conform cruia societatea specific faptul c aceasta nu i
asum nici un fel de rspundere din punctul de vedere al drepturilor de autor.
Printre principalii clieni, n cazul serviciilor de multiplicare i listare, se numr
studenii, cadre didactice etc. Printre principalii clieni ai tipografiei, ns, se afl: Editura
Tehnopress, Editura Tipomoldova, Editura Demiurg i Editura Alfa.
De asemenea, principalele firme cu care S.C tef S.R.L trebuie s concureze pe pia
sunt: S.C Duplex Prin S.R.L, S.C Pim S.R.L i S.C Adi Center S.R.L.
Banc cu care acetia coopereaz este BRD.
22.12.2015
21

2.2 Analiza i interpretarea situaiei financiare pe baz de indicatori


n cele ce urmeaz, vor fi prezentai i analizai indicatori ai situaiilor financiare, precum
i evoluia acestora pe parcursul anilor.
Indicatori financiari
Cifr de afaceri

3.370.086 lei

Profit net

18.852 lei

Pierdere net

0 lei

Profit brut

25.170 lei

Pierdere brut

0 lei

Nr. angajai

54

Datorii totale

1.954.000 lei

Venituri totale

3.453.000 lei

Fig. 2.1. Evoluia cifrei de afaceri 1994-2014

Fig. 2.2 Evoluia cifrei de afaceri 2012-2014

Dup cum putem vedea n graficele de mai sus, cifra de afaceri al firmei a nregistrat o
evoluie pe parcursul anilor, n ultimul an ajung la o valoare de aproximativ 3.370.086 lei.

22

Fig. 2.3 Evoluia profitului brut 1994-2014

Fig.2.4 Evoluia profitului 2012-2014

n graficele de mai sus se observa c firma a iregistrat un profit maxim n anul 2005,
dup acest an profitul scznd considerabil.
Din datele din tabel, putem concluziona rata rentabilitii profitului din care reiese c
profitul total ce revine la 100 de lei venituri este de 0,72 lei .
Putem deduce de asemenea rata solvabilitii generale, egal cu 2,25 , din care reiese
faptul c societatea are echilibru financiar bun pe termen lung care permite acoperirea datoriilor
din activul net i a datoriilor pe termen lung din capitalulul propriu.

Indicatori de
activitate

2010

2011

2012

2013

2014

424.500

430.500

489.200

442.200

477.600

147.300

135.300

155.400

148.700

114.700

(gestiune)
Rotaia activelor
imobilizate (viteza
de rotaie n zile)
Rotaia activelor
circulante(viteza
de rotaie n zile)

23

Rotaia activului
total (viteza de

571.800

565.700

644.700

591.000

529.300

rotaie n zile)

Fig. 2.5 Evoluia Profitabilitii pentru perioada 1999-2014

n figur de mai sus este analizat situaia financiar a firmei n perioada 1999-2014 din
punctul de vedere al indicatorilor evideniai. Dup cum se observa relaia dintre veniturile i
cheltuielile oscileaz n acelai ritm, datoriile i pstreaz de la nceput la sfrit aceaiasi
valoare, profitul ajungnd la un maxim n perioada anului 2005 dup care scznd i ajungnd la
un nivel aproximativ constant iar stocurile atingnd valoarea de apogeu n anul 2010 .

2.3 Analiz a sistemelor/tehnologiilor informaionale existente


SC. Stef S.R.L este o societate comercial care are n prezent un numr de 54 de angajai.
Aceasta folosete un sistem informatic de tip ERP, care, pentru moment, este folosit pentru
gestionarea clienilor, a stocurilor i a comenzilor. De asemenea, permite emiterea i vizualizarea
facturilor, a chitanelor i a avizelor de nsoire a mrfii.

24

Principalele sisteme informaionale existente n cadrul companiei sunt :


Sistemul de Gestiune a stocurilor are drept scop inerea unei evidene din punct
de vedere cantitativ i valoric a stocurilor privind mrfurile, i a materiale consumabile
avnd ca obiectiv final generarea de informaii ce in de aprovizionare. Aplicaia folosit,
Gestoc gestioneaz documentele de intrare i ieire realiznd rapoarte lunare pentru
evidena stocurilor. Este folosit de ctre biroul comercial.
Sistemul Contabilitate general are drept scop asigurarea tuturor operaiunilor
de ncasri i pli. Cu alte cuvinte, acest sistem are la baz ntregul ciclu pe care l
parcurg mrfurile, de la achiziionarea lor de la furnizori pn la darea acestora spre
consum sau spre vnzare. Aplicaia utilizat este ERP ExpertAccounts. Aceasta ofer
posibilitatea emiterii i vizualizrii de facturi, chitane i monetare.
Sistemul de eviden a Resurselor Umane i Salarizare are drept scop evaluarea
aptitudinilor, a cunotinelor tuturor membrilor societii comerciale, repartizarea acestora
pe departamente dar i inerea unor evidene privind contractele de munc, state de plat,
etc. n cazul de fa aceasta se ocupa i cu salarizarea personalului. Aplicaia utilizat este
ERP.S (modul al ERP.connect). Aceasta ofer posibiliti precum: calcularea
configurabil a salariilor, emiterea de rapoarte ( ex. state de plat pentru avans, lichidare,
concedii medicale etc.), filtrarea angajailor pe diferite criterii. De asemenea, are
posibilitatea stocrii de C.V.-uri, a dosarelor de personal ( diplome, certificate, acte etc.).
Aceast aplicaie ofer i posibilitatea de alertare pentru fiecare salariat n parte n cazul
rennoirilor de autorizaii, evalurii periodice, consultaii medicale, etc.
Sistemul de Achiziii i Vnzri, permite societii s-i estimaze necesarul de
aprovizionat i s-i

(re)organizeze i urmreasc procesul de vnzare ntr-un mod

eficient. Aplicaia folosit este ERP.Sp -sistem de gestiune al achiziiilor i al vnzrilor


(modul al ERP.connect)
Sistemul de Mijloace fixe i Obiecte de inventar, prin care sunt urmrite n
detaliu operaiunile aplicate asupra mijloacelor fixe i a obiectelor de inventar pe toat
durata funcionarii acestora, responsabilii i localizarea acestora n cadrul companiei.

25

Aplicaia este ERP.Mf ( Sistem de gestiune al mijloacelor fixe i al obiectelor de


inventar), modul al ERP.connect.
Societatea pune la dispoziia utilizatorilor on-line i o pagin web: http://stef.ro

Dispunerea tehnicii de calcul n cadrul firmei se prezint astfel:


Staii de lucru 5 calculatoare Intel Pentium Quad-Core 2,5 Ghz, 3 GB RAM DDR2,
HDD 750 GB SATA, Windows 7 Ultimate Service Pack 2.
Aplicaii financiar contabile, Corel Draw, ERP.connect
Pachetul Microsoft Office 2010
Visual Fox 7.0, WinRar, WinAce
Adobe Photoshop CS6 i Adobe Ilustrator etc
6 Imprimante Server pentru copiere/scanare/imprimare Xerox 4595 , cu procesor de
750 Mhz, memorie 512 Mb, Hard-disk de 40 GB, Interfaa Enthernet 10/100BaxeTX, limbaje de imprimare PostScript3,PDF,PCL 5e, TIFF,HPGL i HPGL2
Compania dispune de baze de date complexe create prin intermediul programului SMB
iCRM 4.1, care permite crearea i gestionarea mai multor tipuri de documente/nregistrri, cum
ar fi numele clienilor sau furnizorilor, contacte, date tehnice, activiti, documente, contracte,
facturi, proiecte i multe altele.
26

n cadrul actualului sistem informaional, compania dorete s realizeze nite mbuntiri


i modificri. Drept urmare s-a decis a se ncerca s se implementeze o aplicaie de facturare i
gestiune a stocurilor i clienilor web based, prin care se ncearc implementarea unui nou
program complet care s poat fi accesat doar online.Acest proiect ar reduce riscul pierderii de
date ce pot avea loc n urma defectrii unor staii de lucru, putnd fi accesat rapid de oriunde prin
intermediul interfeei familiare a pgnilor web. Pe lng aceast se dorete a se trece la
platforma de cloud-computing n mod integral, prin aplicaia HRexecutive pentru urmrirea i
evaluarea resurselor umane, pentru o mai bun administrare a acestora i pentru a scade timpul
de lucru cu documentele dar i pentru a micora costurile proceselor de HR.

27

Cap. 3 Analiza securitii din arhitectura sistemului


informaional
n cel de-al treilea capitol va fi prezentat i analizat platforma online a companiei SC
Stef SRL, precum i descrierea particularizat a securitii acesteia.

3.1 Descrierea paginii web a societii i gradul de accesibilitate a


acesteia
Un rol destul de importat n dezvoltarea serviciilor i activitilor ntreprinse de ctre SC
Stef SRL l reprezint prezenta companiei n mediul online prin intermediul paginii web
http://stef.ro. Website-ul ajuta compania s intre n contact cu clieni mai muli, ceea ce nseamn
noi oportuniti de afaceri, deci automat venituri mai mari.
Website-ul companiei este n primul rnd o modalitate de comunicare mai facil att cu
clienii ct i cu partenerii de pia, un canal de vnzare, un instrument de promovare i de
publicitate a ofertelor i serviciilor tipografice oferite. Acesta conine i informaiile relevante
despre activitatea firmei, despre produsele i serviciile oferite, modaliti de contact, alte date
specifice sau evenimente, oferte i promoii.
Modul de prezentare a paginii (interfaa) web este una simpl, interactiv, intuitiv i
facila pentru majoritatea utilizatorilor, de unde rezult un grad de accesibilitate destul de ridicat.

28

Nefiind o pagin web care necesit autentificare pentru accesarea acesteia din partea
utilizatorilor, accesul poate fi realizat de ctre toate persoanele, accesibilitatea acestuia permind
utilizatorilor s perceap, neleag, s navigheze i s interacioneze cu informaiile oferite ntrun mod ct mai eficient.

3.2 Politici i instrumente de securitate a paginii web


Dei anterior am precizat faptul c site-ul web nu necesit autentificare din partea
utilizatorilor, acesta necesita o parte de siguran i securitate n ceea ce privete administrarea i
protecia lui.
n ceea ce privete riscurile i ameninrile la care este supus, acesta poate fi atacat de
ctre hackeri, prin expedierea de fiiere infectate sau reclame malware cu scop de redirecionare
ctre site-uri spamm, cu att mai mult ei pot accesa bazele de date ale sistemelor informaionale,
avnd acces la date confideniale, ba mai mult pot chiar terge bazele de date sau chiar ntreaga
pagin web. Acestea sunt doar cteva daune ce pot fi cauzate de neseriozitatea proteciei siteului.
Suportul tehnic are un rol foarte important n soluionarea problemelor aprute n
procesul de administrare a site-ului, de aceea trebuie urmate mai multe proceduri pentru a
asigura o securitate adecvat a acestuia.
Avnd n vedere c site-ul web al companiei este creat cu ajutorul platformei web opensource Joomla, drepturile de administrare sunt accesate numai de anumite persoane privilegiate.
Accesul la aceste conturi de administrare se face prin autentificare n 2 pai, cu Log-uri cu
ussername i parola combinat cu generarea automat a unui cod care se primete fie prin
intermediul unei aplicaii, fie pe adresa de e-mail personal, cod care trebuie introdus ntr-un
cmp special n cadrul log-ului, abia apoi reuindu-se logarea propriu-zis. Astfel nimeni care nu
are acces la aplicaie sau la adresa de e-mail personal nu se poate loga cu drepturi de
administrator.
O atenie deosebit este acordat actualizrii permanente a versiunii platformei Joomla,
pentru meninerea nivelului optim de securitate a acesteia.
Un alt element important atunci cnd vine vorba de securitatea formularelor de comand
este folosirea codurilor Captcha, care este o unealt care te poate feri de mesaje automate sau
29

scripturi duntoare, i permite numai utilizatorilor reali s acceseze opiunile din cadrul acestor
formulare. Acesta apare sub forma unor generatoare automate de cuvinte cheie sau sub forma
unor ntrebri sau calcule ( ex: 8+3=*).
Pentru meninerea unei securiti optime a paginii web, compania utilizeaz urmtoarele
msuri de securitate :
Criptarea conexiunilor
Back automat al conturilor, bazelor de date, documentelor etc.

Rularea unui Firewall pentru website i utilizarea programelor de Antivirus i


Antispam. Programul Firewall folosit este SiteLock. care, odat instalat pe pagin web, ofer o
protecie mpotriva Malware i vulnerabilitilor

asupra bazelor de date i monitorizarea

modificrilor asupra fiierelor i activitilor de pe site. Att staiile de lucru ct i cele


administrative sunt protejate de pachete liceniate Avira Antivirus.
Protecia mpotriva BruteForce, adic mpotriva ncercrilor de accesare neautorizate a adreselor
de e-mail sau a conturilor de administrare.
Drepturile de administrare doar pentru anumite persoane
Deoarece site-ul companiei Stef are un scop informativ, fiind mai mult un instrument de
promovare i mai puin un site de natura comercial, acesta nu include operaiuni i tranzacii de
natura financiar, care eventual ar putea fi victima unor atacuri frauduloase. n afar de
elementele de natura informaional, site-ul dispune de formulare de comand pentru achiziia de
echipamente pentru printare.
Un alt element al politicii de securitate i confidenialitate pe care compania l adopt n
intermediul operaiunilor de tiprire i securizate/confidentializare a informaiilor utilizate, l
reprezint protecia i securizarea datelor i tipografiilor cu caracter liceniat sau cu drepturi de
autor. Cnd vine vorba de procesele de tiprire pentru edituri, se folosesc platforme (ex:
http://aleph.bibnat.ro) pentru verificarea autenticitii documentelor date spre tiprire, se verific
dac mai exist sau nu, implicit dac au drepturi de autor sau nu. n caz contrar, se aplic
sanciuni conform prevederilor legale.

30

3.3 Analiz comparativ a soluiilor existente cu

soluii similare

existente pe pia
Aplicaiile Firewall pentru site-urile web sunt programe automate care scaneaz paginile
pentru a gsi vulnerabiliti ale securitii precum, scripturi cross-site, SQL injection,
modificarea directoarelor, autentificarea neautorizat etc. Dei compania a ales ca i sistem de
protecie a paginii web aplicaia SiteLock i programul de antivirus liceniat Avira, exista pe piaa
un numr mare de programe att comerciale ct i open-source, dar toate acestea au propriile
avantaje i dezavantaje.
n continuare vom prezenta o comparaie a celorlalte programe pentru securitatea
paginilor web existente pe pia, din punct de vedere al criteriului de acuratete a detectarii
amenintarilor existente in mediul Online.

Fig. 3.2 Acurateea detectrii ameninrilor

Deoarece att staiile de lucru ct i cele administrative din cadrul companiei


interacioneaz zilnic cu dispozitive de stocare protabile, adrese de e-mail, dvd-uri sau alte
dispozitive periferice ct i alte programe sau aplicaii, compania pune o importan deosebit
31

asupra securitii acestora. Pentru a nu fi prad unor atacuri de infectare sau a unor tentative de
obinere a informaiilor confideniale, sau a unor bree de securitate, compania utilizeaz pachete
liceniate de sisteme tip antivirus oferite de ctre Avira.
Avira Antivirus oferta protecie inteligenta anti-malware i antivirus, scaneaz fiierele n
timp real i protejeaz mpotriva furtului de date, securiznd parolele. Cu o rat de protecie
foarte mare , el ofer protecie i este capabil s detecteze i neutralizeze ameninri precum
virui, spyware, viermi, troieni, rootkit, dialer sau backdoor.
Dei este unul dintre cele mai rapide i performante programe antivirus de pe pia, exista
alte software-uri antivirus care ofer concurenta mare la acest capitol.
Statisticile aferente sfritului anului 2014 plasau Avira n topul celor mai eficiente
programe antivirus din punct de vedere al gradului de protecie, al performantelor i al gradului
de utilizare.

Fig. 3.3 Statistici antivirus

32

Fig. 3.4 Comparaia proteciei n timp real

Totodat, Avira Antivirus reuete s ating un procent de 99,4% din punctual de vedere
al proteciei mpotriva Malware in timp real.
n urma celor prezentate anterior, putem trage concluzia c compania Stef acorda o
atenie deosebit securitii att sistemelor hardware existente n staiile de lucru, ct ct i celor
software, existente n mediul online (pagin web) prin folosirea unor politici ce asigur
meninerea unui nivel optim de securitate a sistemului informaional. Totodat un alt factor al
securitii l reprezint i adoptarea unor politici de securitate a proceselor i operaiunilor
desfurate n cadrul ei.

33

Cap. 4

Tendine n Securitatea Online

n mediul Online se gsesc constant bree de securitate de ctre rufctori care ncearc
s exploateze i s creeze noi metode de a obine accesul la informaii cu caracter personal.
Deoarece anul 2015 a trecut, este timpul s facem nite predicii pentru anul 2016 i s
vedem cu ce ne va surprinde acesta la capitolul securitii online.
Anul 2015 a fost nc un an important pentru breele de securitate. Au existat atacuri care
aveau ca target companiile de asigurare, site-urile pentru ntlniri online, aplicaiile pentru
dezvoltarea serviciilor de supraveghere sau site-urile ageniilor i instituiilor de stat. Aceste
bree i multe alte trenduri ofer o introspecie la ceea ce ne putem atepta n 2016, an care se
ateapt s modeleze o alt provocare n mediul securitii Online.
Cu ct trece timpul, atacurile vor continua s devin din ce n ce mai inovative i
sofisticate. Majoritatea experilor preconizeaz c va avea loc o cretere exponenial n vederea
Malware pentru tehnologia mobila. Sistemele de plat online sau tehnologiile PIN ori chip-urile
EMV,precum i sistemele de plat onl vor avea i ele de suferit deoarece nc nu sunt suficient de
bine implementate nct s nu fie inta unor atacuri. Vor exista tipuri inovative de atacuri
Malware i Phishing. Atacatorii vor continua s foloseasc frica drept arm, aceasta dovedind a fi
eficient i n trecut. Acestea reprezint doar o mic parte din ceea ce urmeaz n acest an.
Vom ncerca s exemplificm i analizam urmtoarele tendine pe care experii cred ar
trebui s le avem vedere .
1) Creterea exploatrii vulnerabilitii : infractorii vor ncerca s
gseasc modaliti avansate pentru a exploata informaiile, utiliznd atacuri
eficiente i targetate de phishing. Numrul de malware pentru sistemele
mobile va ajunge pn la finalul anului la un numr de 20 de milioane.
Totodat, vor fi atacate la nivel mondial toate sistemele de plat prin
intermediul telefoanelor mobile, precum cardurile de credit EMV, cardurile
contactless prin frecvena radio RFID, ct i aplicaiile mobile tip portofel
( Google Wallet, Apple Pay).

34

2) Vulnerabilitile Open Source : vulnerabiliti de un mare impact


din cadrul platformelor Open Source vor fi n continuare descoperite. Odat ce
popularitatea acestora crete, cercettorii i infractorii vor fi atrai de acestea.
Impactul noilor vulnerabiliti descoperite va fi direct proporional cu
popularitatea tehnologiilor folosite, acesta ateptndu-se s fie un aspect
ngrijortor pentru 2016.

3) Tehnicile de rscumprare : n ultimii ani, rufctorii au folosit


aceste tehnici pentru a pcli utilizatorii online s cad n capcana lor. Aceasta
s-a fcut prin exploatarea fricii victimelor, folosind capcane sub form de
antivirus-uri false. Aceste tipuri de ameninri, de obicei vin prin intermediul
accesului ctre un link sau e-mail de tip phishing, n urma cruia reeaua su
calculatorul de pe care operezi este infectat i fiierele sunt crpitate cu un
limbaj sofisticat de criptare sofisticat, sistemul fiind blocat i utilizatorul
primind un mesaj de ameninare privind arestul i nclcarea drepturilor. Dac
sistemul are fcut back-up, toate datele vor fi pierdute sau devin nefolositoare,
cu excepia cazului n care plteti o rscumprare.
Statisticine spun c suma estimativ rezultat n urma atacurilor de rscumprare este de
aproximativ 325 milioane $, potrivit unui reportaj FBI. Notorietatea acestor atacuri ncepe s fie
din ce n ce mai mare, ajungndu-se s fie unul din importantele tipuri de atac din viitor.

4) Integritatea datelor : atacurile mpotriva integritii datelor vor fi


noile tehnici de investiie pentru hackeri. Rscumprarea nu este singura
modalitate prin care infractorii fac bani din datele furate. n ziua de astzi nu
mai este vorba doar de furtul de date, ci de accesul la ele i modificarea
acestora. Infractorii vor lua msuri care vor fi greu de detectat, fapt ce va
provoca daune majore care vor afecta sistemele informaionale, industriile sau
companiile. Datele rele vor mri preurile, permindu-le hackerilor s
ctige i mai mult. Cel mai ru este faptul c , att timp ct aceste atacuri nu

35

sunt simite pe plan financiar, atacurile asupra integritii datelor vor rmne
nedetectate.

5) Malware pentru Cloud Computing : Malware va ataca i aceast


zon. Este doar o chestiune d etimp pn cnd Cloud-ul va deveni ultima inta
a atacurilor Malware, lucru care se crede c se va ntmpla n acest an.
Atacurile targetate pe zona Cloud vor pompromite sistemele, infrastructura,
aplicaiile i datele din Cloud. Dei n mod tradiional, atacurile Malware au
inte obiective, utilizatorii tind s mute ct mai multe informaii n zona de
cloud, fapt ce atrage dup sine i zona de mobile, care va deveni o int
semnificativ pentru atacurile cloud.

6) Creterea Ad-blocking-ului

: Accesul tot mai mare al

utilizatorilor online la anunurile nedorite, combinate cu publicitatea de tip


Malware creaz un motiv tot mai mare pentru a inova opiunile de blocare
anunurilor.

n concluzie putem spune c din ce n ce mai multe informaii noi sunt conectate la
internet n fiecare zi. Atacatorii se vor adapta permanent la noile tehnologii i la noile tipuri de
date. Este datoria noastr ca s o protejm mpotriva lor i atacurilor create de ei. n caz contrar,
vom ncerca n zadar s ne adaptm n mijlocul unui mediu ostil.

36

Concluzii

Pentru a avea o stare de siguran nu este suficient s avem tehnologia corespunztoare.


Studiile arat c n medie 90% din breele de securitate indentificate nu sunt datorate
problemelor tehnologice ci mai degrab instalrii i configurrii necorespunztoare sau datorit
nerespectrii unor proceduri de utilizare i administrare a sistemelor i reelelor. Securitatea
trebuie s fie o caracteristic esenial a unei reele sau a unui sistem.
Asigurnd securitatea de baz a reelei putem minimiza riscurile de scuritate tipice,
dup care neputem concentra asupra atacurilor mai avansate.
Investind n securitate pe ansamblu, ne putem pstra confidenialitatea datelor noastre
personale i siguran n mediul Online.

37

Bibliografie

38

i Schneier, Bcuce, Protect your Macinthos, Paperback, August 1994