Sunteți pe pagina 1din 22

Curs

SECURITATEA SISTEMELOR INFORMATICE

Ciberspaţiului – un nou mediu informaţional


Ciberspaţiul este mediului de evoluţie al informaţiilor în format electronic, mediul
sistemelor informatice şi de comunicaţii. Proprietăţile şi legile sale sunt specifice, diferite de
legile mediului fizic.

Ciberspaţiul a apărut ca urmare a dezvoltării tehnologice care automatizează prelucrarea


şi transportul informaţiilor: calculatoarele şi reţelele de comunicaţii.

În procesul de prelucrare al informaţiilor, aceste instrumente se interpun între om şi


informaţie, constituindu-se într-o interfaţă, condiţionând viteza şi modul de acces al omului la
informaţie.

Această interfaţă condiţionează în bună măsură capacitatea omului de a cunoaşte


mediul (este tot mai mult un substitut al ochilor şi urechilor în cunoaşterea mediului).

Această interfaţă este tot mai mult depozitara cunoştinţelor omenirii.

În acelaşi context dezvoltarea fără precedent a reţelelor de comunicaţii prin


interconexiunea reţelelor de telefonie, comunicaţii radio, prin sateliţi, prin integrarea tuturor
serviciilor de transport a informaţiilor: voce, fax, imagini, date, poştă, într-o singură reţea
mondială şi practic contopirea acesteia cu INTERNETUL a condus la crearea Magistralei
Informaţionale Globale (M.I.G.).

Capacitatea de transport a acestei magistrale este uriaşă şi se dublează în fiecare an.

Proprietăţile specifice ale ciberspaţiului:

- este un mediu virtual de reflectare a realităţii, care interacţionează, prin legităţi


specifice, cu mediul fizic, prin intermediul informaţiilor folosite de oameni sau maşini;
- este cel mai socializat mediu - acoperă întreg globul, toate mediile de comunicaţii şi
toată scara socială – magistrala informaţională globală;
- mediul poate fi modificat major şi rapid prin intervenţia omului;
- multiplicarea valorilor (informaţiilor) se face uşor, cu costuri nule şi fără a lasa urme
asupra originalului;
- valorile (informaţiile) pot fi manipulate de la orice distanţă, pot fi deplasate cu viteza
luminii, pot fi distruse sau modificate fără ca aceste operaţii să lase urme în mediul
local;
- utilizatorii beneficiază de protecţia anonimatului;
- mediul este in continuă schimbare datorită progresului tehnologic exploziv;
- justiţia „clasică” are dificultăţi în exercitarea prerogativelor în acest mediu, deoarece:
o este foarte lentă în reglementare în comparaţie cu viteze de schimbare a
mediului;
o inconsistenţa termenilor utilizaţi în comunicarea globală – dificultatea definirii
termenilor legaţi de informaţii, sistem, comunicaţii, criminalitate electronică,
precum şi acceptarea lor generală cu consecinţe în instanţă:
 ambiguităţile trebuie să fie interpretate in favoarea inculpatului;
 situaţia oferă grade de libertate suplimentare exploatabile pentru
apărare, în defavoarea adevărului;
o dificultatea incriminării în codul penal;
o problema teritorialităţii justiţiei şi independenţa de spaţiu (şi chiar de timp) a
activităţilor în ciberspaţiu;
 caracterul transfrontalier al criminalităţii electronice;
o caracterul nematerial al probelor (informaţiilor în formă electronică din sistem)
şi folosirea lor într-un sistem bazat pe materialitatea probelor (sunt admise
numai probe tangibile) ceea ce face ca probarea să se poată face de regulă
prin administrare indirectă de probe;
 semnătura electronică;
 expertiza tehnică şi criminalistică;

În concluzie, caracteristicile ciberspaţiului şi activitățile din societatea informaţională,


fac din ciberspaţiu un câmp predilect pentru infracţionalitate.

Un sistem de securitate informatică are rolul de a contracara această situaţie


de fapt prin descurajare, creşterea dificultăţilor de manipulare frauduloasă a
informaţiilor şi să crearea de suficiente urme credibile, care să probeze faptele
incriminate de lege.

Mecanismul de creare a urmelor spaţiul informaţional (și în ciberspaţiu) implică un


sistem de monitorizare şi înregistrare a activităţilor şi un sistem de intervenţie care să
întârzie unele activităţi până se poate verifica nocivitatea lor, pentru a putea fi permise sau
stopate.

Introducere in Securitate Cibernetica _ Invata Securitate Ep. 1.mp4


Securitatea computerelor
Securitatea informatică, cybersecurity sau securitatea calculatoarelor reprezinta protecția
sistemelor informatice împotriva furtului și deteriorarea hardware-ului, software-ului sau
informațiilor acestora, precum și a perturbării sau a direcționării greșite a serviciilor pe care
le furnizează.

Cybersecurity include controlul accesului fizic la hardware, precum și protecția împotriva


daunelor care pot apărea prin accesul la rețea, prin introducerea datelor și prin injectarea de
coduri. De asemenea, evita aplicarea unor practici incorecte ale operatorilor (intenționată
sau accidentală), prin care securitatea IT, prin diferite metode, este susceptibilă să fie
înșelată sau să devieze de la procedurile sigure.

Domeniul este din ce în ce mai important, datorită dependenței din ce în ce mai mari a
oamenilor de sistemele informatice și de Internet, de rețelele fără fir (precum Bluetooth și
Wi-Fi) si a cresterii numarului dispozitivelor "inteligente", inclusiv smartphone-uri, televizoare
și dispozitive minore din Internetul Obiectelor.

Securitatea retelelor

Securitatea reţelelor de calculatoare este parte integrantă a domeniului reţelelor de


calculatoare

Implică protocoale, tehnologii, sisteme, instrumente şi tehnici pentru a securiza şi opri


atacurile rău intenţionate.

Atacurile cibernetice au crescut considerabil în ultimii ani, infracţiunile comise în spaţiul


cibernetic provoacă anual pagube de peste 1 trilion de dolari (conform Europol).

Fiind un domeniu complex, au fost create diviziuni, pentru a putea face administrarea mai facilă
si a permite profesionistilor o abordare mai precisă în privinţa instruirii, cercetării şi muncii în
acest domeniu.
Sunt 12 domenii ale securităţii reţelelor (specificate de International Organization for
Standardization - ISO/International Electrotechnical Commission - IEC):

1. Evaluarea Riscului determină valoarea cantitativă şi calitativă a riscului legat de o


situaţie specifică sau o amninţare cunoscută;
2. Politica de Securitate este un document care tratează măsurile coercitive şi
comportamentul membrilor unei organizaţii, specificand cum vor fi accesate datele, ce
date sunt accesibile şi cui;
3. Organizarea Securităţii Informaţiei e un model de guvernare elaborat de o organizatie
pentru securitatea informaţiei
4. Administrarea Bunurilor reprezintă un inventar, realizat potrivit unei scheme de
clasificare pentru bunurile informaţionale
5. Securitatea Resurselor Umane defineste procedurile de securitate privind angajarea,
detaşarea şi părăsirea de către un angajat al organizaţiei din care face, va face, sau a
făcut parte
6. Securitatea Fizica şi a Mediului descrie măsurile de protectie pentru centrele de date
din cadrul unei organizaţii
7. Administrarea Comunicaţiilor şi Operaţiunilor descrie controalele de securitate pentru
reţele şi sisteme
8. Controlul Accesului priveste restricţiile aplicate accesului direct la reţea, sisteme,
aplicaţii şi date
9. Achiziţia, Dezvoltarea şi Păstrarea Sistemelor Informatice defineşte aplicarea
măsurilor de securitate în aplicaţii
10. Administrarea Incidentelor de Securitate a Informaţiei tratează cum anticipează şi
răspunde sistemul la breşele de securitate
11. Administrarea Continuităţii Afacerii descrie masurile de protecţie, întreţinere şi
recuperare a proceselor critice pentru afacere şi sisteme
12. Conformitatea descrie procesul de asigurare a conformităţii cu politicile de securitate a
informaţiei, standarde şi reguli
Atacurile de securitate la adresa reţelelor sunt împartite în: recunoaştere, acces şi imposibilitatea
onorări cererii (DoS).

Vulnerabilități și atacuri

O vulnerabilitate este o slăbiciune în proiectarea, implementarea, funcționarea sau


controlul intern al unui sistem informatic. Majoritatea vulnerabilităților care au fost
descoperite sunt documentate în baza de date a Common Vulnerabilities and Exposures
(CVE).

O vulnerabilitate exploatabilă este una pentru care există cel puțin un atac de lucru sau
"exploatare" . Vulnerabilitățile sunt adesea vânate sau exploatate cu ajutorul instrumentelor
automate sau manual folosind scripturi personalizate.

Pentru a asigura un sistem informatic, este important să înțelegeți atacurile care pot fi făcute
împotriva sa, iar aceste amenințări pot fi în mod obișnuit clasificate în una din următoarele
categorii:

Backdoor
O backdoor intr-un sistem de calcul, un criptosistem sau intr-un algoritm reprezinra orice
metodă secretă de ocolire a autentificării normale sau a controalelor de securitate.

Acesta se poate datora mai multor motive, inclusiv de proiectare originala sau din cauza
unor slabiciuni de configurație.

Backdoorurile sunt adesea folosite pentru asigurarea accesului la distanță la un calculator


sau pentru obținerea accesului la texte scrise în sisteme criptografice.

Este posibil ca acestea să fi fost adăugate de o parte autorizată, pentru a permite un acces
legitim, sau de către un atacator, cu intentii dăunătoare.
Indiferent de motivele existenței lor, ele creează o vulnerabilitate.

O backdoor poate lua forma unei părți ascunse a unui program pe care îl folosim, poate fi un
program separat, un cod în firmware-ul unui dispozitiv hardware, sau parti dintr-un sistem de
operare, cum ar fi Microsoft Windows.

Deși în mod obișnuit sunt instalate pe ascuns, în unele cazuri un backdoor este deliberat
facut cunoscut pe scară largă. Aceste tipuri de backdoors pot avea utilizări "legitime", cum ar
fi furnizarea de către producător unui mod de a restaura parolele utilizatorilor.

Parolele prestabilite (sau alte identificari implicite) pot funcționa ca backdoors dacă nu sunt
modificate de utilizator. Unele facilitati de depanare pot acționa și ca backdoors dacă nu sunt
eliminate în versiunea de lansare.

În 1993, guvernul Statelor Unite a încercat să implementeze un sistem de criptare, chipul


Clipper, cu o backdoor explicită pentru accesul la forțele de ordine și securitate națională.
Cipul nu a avut succes pe plan internațional și în afaceri.

Exemple:

Mulți viermi de computer (worms), cum ar fi Sobig și Mydoom, instalează o backdoor pe


computerul afectat (în general un PC care rulează Microsoft Windows și Microsoft Outlook).
Asemenea backdoor-uri instalate, spammerii pot trimite e-mailuri junk de pe mașinile
infectate.

Altele, cum ar fi rootkit-ul Sony / BMG, plasat în secret pe milioane de CD-uri muzicale până
la sfârșitul lui 2005, sunt destinate măsurilor DRM. In acest caz, doua programe secrete
actionau ca agenți de colectare a datelor, ambele transmitandu-le unor servere centrale.

O încercare sofisticată de a instala un backdoor în kernel-ul Linux, descoperita în noiembrie


2003, a constat intr-o mica si subtila schimbare de schimbare de cod, subminând sistemul
de control al reviziilor. Ea a fost chiar interpretată ca o eroare tipografică accidentală, mai
degrabă decât un atac intenționat.

În ianuarie 2014, a fost descoperită o backdoor în anumite produse Samsung Android, cum
ar fi dispozitivele Galaxy. Versiunile Android deținute de Samsung sunt echipate cu o
backdoor care oferă acces de la distanță la datele stocate pe dispozitiv. Software-ul
Samsung Android, care se ocupă de gestionarea comunicațiilor cu modemul, folosind
protocolul Samsung IPC, implementează o clasă de cereri cunoscute sub denumirea de
comenzi de server de fișiere la distanță (RFS), care permit operatorului de backdoor să
efectueze operații operațiuni I / O pe hard diskul dispozitivului sau pe alt spațiu de stocare
prin intermediul modemului. Deoarece modemul rulează software-ul Samsung proprietate
Android, este probabil că acesta oferă o telecomandă care poate fi utilizată pentru a emite
comenzile RFS și, astfel, pentru a accesa sistemul de fișiere sistem de pe dispozitiv.

Backdoors in cod obiect - modificarea codului obiect e mult mai greu de detectat, fata de
codul sursa (el este citit de masina, nu de om).

Anumite backdoors pot fi inserate direct în codul obiect de pe disc sau la un moment dat, în
timpul compilării, asamblării sau încărcării (în ultimul caz backdoor-ul nu apare niciodată pe
disc, ci numai în memorie).
Un backdoor obiect e greu de detectat prin inspecția codului obiect, dar ușor de detectat
prin simpla verificare a modificărilor (diferențelor), în special în lungime sau în suma de
control. În plus, backdoor-ul codului de obiect poate fi eliminat (presupunând că există un
cod sursă) prin simpla recompilare din sursă.

Astfel, pentru a evita detectarea, object backdoors trebuie sa ascunda toate copiile binare
existente, sa compromita orice sumă de verificare a validarii, iar sursa trebuie să fie
indisponibilă pentru a preveni recompilarea.

Deoarece codul obiect poate fi regenerat prin recompilarea (reasamblarea, relocarea) a


codului sursă original, crearea unui backdoor persistent (fără a modifica codul sursă)
necesită subminarea compilatorului însuși - astfel încât atunci când detectează că
compilează programul sub atac inserează backdoor - sau, în mod alternativ, asamblorul,
linkerul sau încărcătorul.

Un astfel de atac a fost semnalat in laboratoarele Sophos (august 2009): virusul W32 /
Induc-A a infectat compilatorul de programe pentru limbajul de programare Delphi. Virusul
și-a introdus propriul cod la compilarea de noile programe Delphi, permițându-i să infecteze
și să se răspândească în mai multe sisteme, fără cunoașterea programatorului software.

Un astfel de atac, care se propagă prin construirea propriului cal troian, este deosebit de
greu de descoperit. Se crede că virusul Induc-A s-a propagat timp de cel puțin un an înainte
de a fi descoperit.

Atacuri analogice pot viza niveluri mai scăzute ale sistemului, cum ar fi sistemul de operare,
și pot fi inserate în timpul procesului de boot al sistemului, iar acum există sub forma virușilor
din sectorul de boot.

Backdoors asimetrice. O backdoor tradițională este simetrică: oricine găsește backdoor-ul


poate la rândul său să o folosească.

O backdoor asimetrica poate fi folosita numai de către atacatorul care o plantează, chiar
dacă implementarea completă a backdoor-ului devine publică. Această clasă de atacuri a
fost numită kleptografie si pot fi efectuate în software, hardware (de exemplu, smartcard-
uri) sau o combinație a celor două.

Teoria backdoors asimetrice face parte dintr-un câmp mai larg de cercetare denumit
criptovirologie. De exemplu, NSA a introdus o backdoor kleptografică în standardul
Dual_EC_DRBG.

Backdoors cunoscute

Back Orifice a fost creat în 1998 de către hackerii din grupul Cult of the Dead Cow, ca un
instrument de administrare la distanță. A permis ca sistemele Windows să fie controlate de
la distanță printr-o rețea, exploatand asemănarea cu Microsoft BackOffice.

Dual_EC_DRBG – un generator de numere pseudoaleatoare securizate criptografic - a fost


descoperit în 2013 ca avea un backdoor kleptografic introdus în mod deliberat de NSA, care
detinea si cheia privată pentru ea.
In martie 2014 au fost descoperite mai multe backdoors în copiile fără licență ale
pluginurilor WordPress. Acestea au fost inserate discret ca un cod JavaScript în baza de
date a site-ului web, dintr-un un cont de administrator. O schemă similară a fost expusă mai
târziu în pluginul Joomla.

Versiunile Borland Interbase de la 4.0 până la 6.0 au avut o backdoor puternica, pusă
acolo de către dezvoltatori. Codul serverului conține un cont de backdoor compilat
(username: politically, password: correct), care poate fi accesat printr-o conexiune de rețea;
un utilizator care se loghează cu acest cont de backdoor ar putea prelua controlul asupra
tuturor bazelor de date Interbase. Backdoor-ul a fost detectat în 2001 și eliminiat printr-un
patch.

Juniper Networks backdoor a fost introdus în anul 2008 în versiunile firmware-ului


ScreenOS de la 6.2.0r15 la 6.2.0r18 și de la 6.3.0r12 la 6.3.0r20. Ea oferă oricarui utilizator
acces administrativ atunci când foloseste o parolă master specială.

Atacurile refuz de serviciu (Denial-of-service - DoS)


Sunt atacuri de tip spam, concepute pentru a face ca o mașină sau o resursă de rețea să nu
fie disponibilă pentru utilizatori, prin întreruperea temporară sau nedeterminată a serviciilor
unei gazde conectate la Internet.

Atacatorii fie pot refuza serviciul victimelor individuale, cum ar fi prin introducerea deliberată
a unei parole greșite consecutiv, de suficient de multe ori pentru a provoca blocarea contului
victimelor, fie poate supraîncărca capabilitățile unei mașini sau rețele, blocând dintr-o dată
toți utilizatorii (de exemplu, invazia cu o multime de cereri inutile).

Atacul in rețea provenind de la o singură adresă IP (sursa) poate fi blocat prin adăugarea
unei noi reguli de firewall.

Atacul DoS ce provine dintr-un număr mare de surse se numeste DDoS (Distributed Denial
of Service) si este mult mai dificil de contracarat.

Astfel de atacuri pot proveni preponderent de la computerele zombie sau de la botnet - uri,
însă sunt posibile si alte tehnici, cum sunt atacurile de reflecție și amplificare, în care
sistemele nevinovate sunt păcălite sa trimita traficul catre victima.

Un zombie este un computer conectat la Internet, care a fost compromis de un hacker, un virus de
calculator sau un program cal troian, pentru a fi folosit sa efectueze la distanta sarcini malitioase.

Computerelor zombie sun utilizate pentru a distribui mesajele spam prin e-mail (in 2005, aproximativ
50-80% din spam a fost trimis astfel), pentru a raspandi astfel virusi troieni (acestia nu se pot auto-
replica), pentru fraude pe site-uri de publicitate cu plata pe click, pentru phishing sau furturi de bani in
tranzactii on-line.

Majoritatea proprietarilor de computere "zombie" nu știu că sistemul lor este compromis.

Un botnet (robot+network) este un grup de dispozitive conectate la Internet (computere, smartphones


sau dispozitivele IoT), a caror securitate a fost compromisa, fiecare dintre ele executând unul sau mai
multe programe malware bots (roboți), controlate de la distanta de proprietari.
Botnet-urile sunt folosite pentru a fura date, a trimite spam și a permite atacatorului să acceseze
dispozitivul și conexiunile acestuia.

Atacurile DoS/DDoS vizează frecvent site-uri sau servicii găzduite pe servere web de înaltă
calitate (ex: bănci, gateway-uri de plată cu carduri)

Motivatiile atacurilor DoS/DDoS pot fi răzbunarea, șantajul, activismul etc.

Atacurile DDoS au continuat să crească în ultimii ani, în 2016 depășind un terabit pe


secundă.
Atacurile DoS sunt considerate in multe tari infractiuni. In SUA, prin reglementarea Computer
Fraud and Abuse Act, ele sunt crime federale si se pedepsesc cu ani de inchisoare. In Marea
Britanie, pedepsele pot ajunge la 10 ani de inchisoare.
Pe de alta parte, in 2013, Anonymous au postat o petitie pe site-ul whitehouse.gov, cerand ca
DDoS sa fie recunoscute ca o forma legala de protest.

Atacul DDoS al nivelului de aplicație (uneori denumit atac layer 7 DdoS) nu vizeaza
intreaga retea, ci numai nivelul aplicație din modelului OSI, urmarind ca anumite funcții sau
caracteristici ale unui site web sa fie dezactivate. Este adesea folosit împotriva instituțiilor
financiare pentru a produce încălcări de securitate si întreruperea tranzacțiilor și a accesului
la bazele de date.

Acest tip de atac poate perturba servicii cum ar fi recuperarea informațiilor sau funcția de
căutare, precum și funcția de browser web, servicii de e-mail și aplicații foto.

În anul 2013, atacurile DDoS la nivel de aplicație reprezintă 20% din toate atacurile DdoS.

Un DoS avansat persistent (APDoS) este perceput ca o amenințare persistentă avansată


(APT – Advanced Persistent Threat), ai carei autori au acces la resurse și capacități de
calculator importante. Atacurile APDoS reprezintă o amenințare clară și emergentă, care
necesită servicii specializate de monitorizare și intervenție în caz de incidente, precum și
capacitățile defensive ale furnizorilor specializați de servicii de atenuare a DDoS.

APDoS implică atacuri masive DDoS pe mai multe niveluri ale rețelei, urmate de atacuri
concentrate pe nivelul de aplicații (HTTP), urmate de atacuri repetate SQLi și XSS.

Atacatorii pot folosi simultan de la 2 la 5 vectori de atac care implică până la câteva zeci de
milioane de solicitări pe secundă, Atacurile pot persista câteva săptămâni - cea mai lungă
perioadă continuă înregistrată a durat 38 de zile. Acest atac APDoS a implicat aproximativ
50 de petabiți (50.000 + terabiți) de trafic rău intenționat.

Atacatorii din acest scenariu pot schimba tactic între mai multe ținte, pentru a crea o
deturnare si a evita contramăsurile defensive DDoS, dar tot timpul concentrarea principală a
atacului se face asupra unei singure victime.

Atacurile APDoS sunt caracterizate de: recunoastere avansata, executie tactica (cu victime
primare si secundar, focusat pe cele primare), motivatie explicita (obiectiv final calculat), o
mare capacitate de calcul, atacuri simultane pe straturile OSI 3-7, persistenta in timp

Simptomele principale ale unui atac de refuz al serviciului (identificate de United States
Computer Emergency Readiness Team US-CERT):
- performanțe neobișnuit de lente ale rețelei (deschiderea fișierelor sau accesarea site-
urilor Web)
- indisponibilitatea unui anumit site web
- incapacitatea de a accesa orice site web
- o creștere dramatică a numărului de e-mail-uri spam primite (acest tip de atac DoS
este considerat o bomba de e-mail).

Simptome suplimentare pot include:

- deconectarea unei conexiuni la internet wireless sau prin cablu


- refuzarea pe termen lung a accesului la web sau la orice servicii de internet.

În cazul în care atacul este efectuat la o scară suficient de mare, întreaga regiune geografică
a conectivității la Internet poate fi compromisă, fără cunoștinta sau intenția atacatorului,
datorita echipamentului de infrastructură de rețea incorect configurat sau slab.

Tehnici de atac

In unele cazuri, instrumentele sunt încorporate în programe malware și atacurile se lansează


fără cunoștinta proprietarului sistemului (ex: MyDoom).

În alte cazuri, o mașină poate deveni parte a unui atac DDoS cu acordul proprietarului (ex:
operațiunea Payback, organizată de grupul Anonymous

O mare varietate de instrumente DDoS sunt disponibile astăzi pe o piață subterană,


incluzand versiuni plătite și gratuite, cu diferite caracteristici (ex: PREDATORS FACE și
ROLLING THUNDER). Există de asemenea forumuri legate de hackeri și canalele IRC.

Congestia pe nivelul de aplicatie consta in generarea de incidente de tip buffer overflow


care determina softul serverului sa functioneze anormal, sa umple spatiul disc sau memoria
sau sa ocupe tot timpul CPU.

Alte tipuri de DoS provoaca congestia prin forța bruta, inundând ținta cu un flux copleșitor de
pachete (prin intermediul unui botnet), depășind lățimea de bandă a conexiunii sau epuizând
resursele de sistem ale victimei.

O altă țintă a atacurilor DDoS de congestie poate fi generarea de costuri suplimentare


pentru operatorul aplicației, când acesta utilizează resurse bazate pe cloud computing.

Un "atac banana" este un tip particular de congestie DoS, care implică redirecționarea
mesajelor de ieșire de la client inapoi catre acesta, provocand saturarea clientului cu
propriile pachete. (ex: atacul LAND)

O versiune de atac DoS la nivel de aplicație este XDoS (sau XML DoS), care poate fi
controlat de aplicațiile web firewall moderne (WAF).
Atacurile de degradare a serviciului sunt provocate de zombiile "Pulsing", computere
compromise care lanseaza inundații intermitente și de scurtă durată asupra site-urilor
victimelor, cu intenția de a le încetini, mai degrabă decât să le prăbușească ( "degradare-
serviciu" mai degrabă decât "blocare a serviciului").

Ele sunt mai dificil de detectat decât invazia zombie obișnuită, pentru ca e greu de evaluat
daca perturbatia serverul este provocata de fluctuatiile traficului normal sau de un astfel de
atac.

Atacul DoS/ DDoS Level 2 are scopul de a provoca lansarea unui mecanism de apărare
care blochează segmentul de rețea din care provine atacul. În cazul atacului distribuit sau a
modificării antetului IP, acesta va bloca total rețeaua de pe Internet atacată.

Un atac distribuit de Denial-of-Service (DDoS) apare atunci când mai multe sisteme
genereaza trafic care inundă lățimea de bandă sau resursele unui sistem vizat, de obicei
unul sau mai multe servere web. Sursa atacului este adesea un botnet. Atacul provoaca in
final un crash complet al site-ului victima.

Mecanismele de atac DdoS pot fi incluse in malware, intr-un troian (care permite atacatorului
sa descarce un agent zombie in sistem) sau in agenti care ruleaza o rutina automată pentru
a exploata vulnerabilitățile în programele care acceptă conexiuni la distanță pe serverele
gazda.

In ultimul timp s-au semnalat atacuri DdoS in Internet of Things. Într-un astfel de atac, s-au
primit aproximativ 20.000 de solicitări pe secundă, care proveneau din aproximativ 900 de
camere CCTV.

Atacurile DDoS pentro extorcare (cyber-extrocarea), aparute dupa 2015, debuteaza cu un


atac avertisment de nivel scazut asupra unor institutii financiare, urmat de amenintarea
unuia mai mare, daca nu se plateste o rascumparare (solicitata adesea in Bitcoin).

Atacul HTTP POST DoS trimite un antet HTTP POST legitim, care include câmpul "Content-
Length", pentru specificarea mărimii corpului mesajului ce urmeaza a fi trimis. Atacatorul
continuă si trimite corpul mesajului într-o rată extrem de lentă (ex: 1 byte/110 sec).

Datorită faptului că mesajul este corect și complet, serverul țintă va aștepta transmiterea
integrala a acestuia, ceea ce poate dura foarte mult timp. Atacatorul stabilește sute sau chiar
mii de astfel de conexiuni, până când toate resursele pentru conexiunile de intrare de pe
serverul victima sunt epuizate, făcând astfel imposibile alte conexiuni (inclusiv legitime).

Spre deosebire de alte atacuri (D)DoS, care încearcă săblocheze serverul prin
suprasolicitarea rețelei sau a CPU-ului, un atac HTTP POST vizează resursele logice ale
victimei.

Atacurile HTTP POST sunt dificil de diferențiat de conexiunile legitime și, prin urmare, sunt
capabile să evite anumite sisteme de protecție.
Atacurile ICMP (Internet Control Messages Protocol) sunt de mai multe feluri:

 Atacul smurf se bazează pe dispozitive de rețea greșit configurate, care permit


pachetelor să fie trimise tuturor gazdelor dintr-o anumită rețea prin adresa de
difuzare a rețelei. Atacatorul trimite un număr mare de pachete IP cu adresa sursă
falsificata ca să pară a fi adresa victimei. Lățimea de bandă a rețelei este consumată
rapid, împiedicând pachetele legitime să ajungă la destinație.
 Atacul ping flood se bazează pe trimiterea unui număr covârșitor de pachete de
ping victimei, Este foarte simplu de lansat, cerința principală fiind accesul la o lărgime
de bandă mai mare decât victima.
 Atacul ping mortal (ping of death) se bazează pe trimiterea victimei un pachet ping
malformat, care va duce la un crash al sistemului vulnerabil.
 Atacul BlackNurse eploateaza optiunea Destinative Port Unreachable a pachetelor
ICMP.

Atacurile Peer-to-peer exploateaza un număr de bug-uri în serverele peer-to-peer, pentru a


iniția atacuri DDoS.

Atacatorii nu folosesc botnet, pentru ca nu trebuie sa comunice cu clientii afectati. Ei


actioneaza indirect, instruindu-i pe clienții unor mari hub-uri de partajare a fișierelor peer-to-
peer să se deconecteze de la rețeaua lor peer-to-peer și să se conecteze la site-ul victimei.

Permanent denial-of-service (PDoS) este un atac care dăunează unui sistem atât de rău,
încât necesită înlocuirea sau reinstalarea hardware-ului.

Un atac PDoS exploatează deficiențe de securitate care vor permite administrarea la


distanță a interfețelor de management ale hardware-ului victimei (ex: routerele,
imprimantele, alte echipamente de rețea) si înlocuirea firmware-ul unui dispozitiv cu o
imagine firmware modificată, coruptă sau defectă.

Prin urmare, dispozitivul "ingheata", devenind inutilizabil pana cand acesta va fi reparat sau
inlocuit.

Datorită acestor caracteristici și a probabilității ridicate de exploatare a securității în


dispozitivele încorporate în rețea (NEED), această tehnică a ajuns în atenția numeroaselor
comunități de hacking.

Atacul reflectat /falsificat (DRDoS) implica trimiterea unor cereri falsificate de un anumit tip
unui număr foarte mare de computere, care le vor răspandi, la randul lor. Folosind
falsificarea adresei IP, adresa sursă este setată la adresa victimei vizate, ceea ce înseamnă
că toate răspunsurile vor merge la aceasta, blocand-o.

Atacurile prin amplificare sunt folosite pentru a mări lățimea de bandă prin care se trimite
victimei. Aceasta se face prin intermediul unor servere DNS accesibile publicului, care sunt
utilizate pentru a provoca congestia sistemelor tinta folosind traficul de răspuns DNS.
Apararea împotriva acestor tipuri de atacuri este foarte dificila, deoarece datele de răspuns
provin de la serverele legitime iar solicitările de atac sunt trimise prin UDP, care nu necesită
o conexiune la server (IP-ul sursă nu este verificat când este primită o solicitare)

Atacul RUDY (R-U-Dead Yet?) vizează aplicațiile web prin stoparea sesiunilor disponibile pe
serverul web. RUDY ține sesiunile oprite utilizând transmisii POST care nu se termină și
trimitand valori arbitrare de lungime a conținutului mesajelor.

Atacul scut (shrew) este un DoS asupra protocolului TCP. Utilizează explozii scurte
sincronizate de trafic pentru a întrerupe conexiunile TCP pe același link, exploatând o
slăbiciune a mecanismului timeout al retransmisiei TCP.

Un atac de citire lentă (Slow Read) trimite solicitări legitime pe nivelul de aplicație, dar
citește răspunsurile foarte încet, încercând astfel să blocheze conexiunile serverului.

Aceasta se realizează prin alocarea unei dimensiuni foarte mici a ferestrei de primire TCP și
- în același timp - golirea lenta a tamponului de primire TCP al clienților, ceea ce determină
scaderea dramatica a debitului de date.

Atacul sophisticated low-bandwidth DDoS utilizează mai puțin trafic, dar mărește
eficacitatea acestuia prin trimiterea de cereri complicate către sistem.

Atacul Telephony denial-of-service (TDoS) genereaza abuziv un număr mare de apeluri


telefonice intr-un serviciu Voice over IP. Originea apelurilor nu poate fi detectata, identitatea
apelantului fiind falsificata.

TDoS permite aplicarea unor scheme frauduloase (ex: escrocul contactează bancherul sau
brokerul victimei, solicitand un transfer de fonduri. Contactarea victimei pentru verificarea
transferului eșuează deoarece liniile telefonice ale acesteia sunt inundate cu mii de apeluri
false)

Refuz al serviciului de telefonie poate exista chiar și fără telefonie prin Internet. Prin
ocuparea continuă a liniilor cu apeluri automate repetate, victima este împiedicată să
efectueze sau să primească atât apeluri de rutină, cât și de urgență. Pot fi trimise astfel si
SMS-uri sau fax-uri. Publicarea pe scară largă a unui număr poate, de asemenea, să-l
inunde cu suficiente apeluri pentru al face inutilizabil.

Tehnici de aparare impotriva atacurilor DoS/DDoS

Apararea de atacurile de tip "denial-of-service" implică combinația intre instrumente pentru


detectarea atacurilor, pentru clasificarea traficului și de răspuns (cele care blocheaza traficul
identificat drept ilegitim).

Instrumentele de prevenire și de reacție sunt:


Hardware front-end de aplicații este un dispozitiv inteligent plasat în rețea înainte ca
traficul să ajungă la servere. Poate fi utilizat în legătură cu routere și switch-uri.

Hardul front-end analizează pachetele de date ce intră în sistem și le identifică ca prioritate,


regularitate si periculozitate.

Indicatori Key Completion pe nivelul aplicatie, utilizati pentru a raspunde atacurilor DDoS
bazate pe cloud. Se bazează pe monitorizarea progresulului cererilor pe o anumita cale, prin
intermediul unor markeri denumiti indicatori cheie de finalizare.

În esență, tehnica este o metodă statistică de evaluare a comportamentului cererilor primite,


pentru a detecta dacă se întâmplă ceva neobișnuit sau anormal, similar cu studiul
comportamentului cumparatorilor dintr-un magazin. Metoda evita cresterea cheltuielilor
pentru servicii cloud, generate de atacuri DDoS.

Blackholing și sinkholing

În cazul blackholing, tot traficul spre adresa DNS sau IP atacata este trimis la o "gaură
neagră" (interfață nulă sau un server inexistent). Pentru a evita afectarea conectivității
rețelei, serviciul poate fi gestionat de ISP.

Tehnica sinkholing dirijeaza datele de la adresa DNS către o adresă IP valabilă, care
analizează traficul și respinge pachetele greșite.

Preventia bazată pe IPS (Intrusion Prevention Systems) este eficienta dacă atacurile au
semnături asociate cu acestea. Sistemele de prevenire a intruziunilor care lucrează la
recunoașterea conținutului nu pot bloca atacurile DoS, iar tendința pentru atacuri este de a
avea conținut legitim, dar intenții rauvoitoare.

Un IPS bazat pe circuite ASIC poate detecta și bloca atacurile DoS, deoarece acestea au
puterea de procesare mare si pot acționa ca un întrerupător automat.

Un IPS bazat pe rate de transfer (RBIPS) analizeza traficul, monitorizând în mod granular și
continuu modelul de trafic și decide dacă există o anomalie a acestuia. In timp ce se
blochează traficul de atac al DoS, luxul legitim de trafic este mentinut.

Un sistem de aparare DoS (DoS Defense System - DDS) este mai eficient decat IPS,
deoarece poate bloca atat atacurile DoS bazate pe conexiune, cat și pe cele cu conținut
legitim, dar intentii rauvoitoare.

Un firewall poate bloca atacuri simple, prin adaugarea unor reguli simple de negare a intreg
traficului primit de la atacatori, bazat pe protocoale, porturi sau adrese IP originare. Atacurile
complexe sunt insa dificil de evitat prin astfel de reguli.
Routerele (similar si switch-urile) dispun de capacitati limitate de rezistenta la atacuri DoS.
Totusi, unele (ex: Cisco IOS) au caracteristici opționale care pot reduce impactul ofensivelor
de trafic.

Tehnica upstream filtering (filtrarea în amonte) presupune ca tot traficul sa fie trecut
printr-un "centru de curățare/spalare" prin diferite metode, cum ar fi proxy-uri, tuneluri,
conexiuni digitale sau chiar circuite directe care separă traficul rău catre server (DDoS și alte
atacuri comune pe Internet).

Atacurile prin acces direct


Intr-un astfel de atac, un utilizator neautorizat obține acces fizic la un computer si devine capabil
să copieze direct datele de pe acesta. De asemenea, el pot compromite securitatea prin
modificări ale sistemului de operare, instalarea de viermi software (worms), keylogger sau
dispozitive ascunse de inregistrare.
Chiar și atunci când sistemul este protejat prin măsuri standard de securitate, acestea pot fi
ocolite prin incarcarea de pe un suport de boot a unui alt sistem de operare sau a altui
instrument. Disk criptarea și Trusted Platform Module sunt concepute
Pentru a preveni aceste atacuri, se recomanda criptarea discului (Disk encryption) sau utilizarea
unui Trusted Platform Module.

Ascultarea clandestina
Reprezinta actul interceptarii ascunse a unei conversații private, de regulă între gazde în
rețea, practicata in special in retelele de telecomunicatii (telefonie, e-mail, VoIP etc.).

Chiar și mașinile care funcționează ca un sistem închis (adică, fără contact cu lumea
exterioară) pot fi ascultate prin monitorizarea emisiilor electromagnetice slabe generate de
hardware (ex: TEMPEST este o specificație a ANS referitoare la aceste atacuri).

Comunicatiile, indiferent de suport, pot fi protejate prin criptarea mesajelor.

Imitatia (Spoofing)

Un atac spootfing este acea situatie in care o persoana sau un program mascheaza anumite
entitati informatice prin falsificarea datelor (ex:o adresă IP sau un nume de utilizator), pentru a
avea acces la informații sau la resurse pe care altfel nu le putea obține.

Tipuri de falsificare:
- prin e-mail – atacatorul falsifică adresa de expediție a unui e-mail;
- prin adresa IP – atacatorul modifică adresa IP sursa a unui pachet de date, penntru
a-și ascunde identitatea;
- prin adresa MAC – atacatorul modifica adresa Media Access Control (MAC) a
interfeței sale la rețea, apărând ca un utilizator valid;
- biometric – atacatorul produce un eșantion biometric fals pentru a reprezenta un alt
utilizator.
Imixtiunea (Tampering)

Consta în modificarea malițioasă a unor produse. De exemplu, atacurile Evil Maid alterează
serviciile de securitate ale routerelor.

Escaladarea privilegiilor (Privilege escalation)

Reprezintă situația în care un atacator cu un anumit nivel de acces (restrâns) devine capabil
să-și extindă privilegiile fără autorizație (prin creșterea nivelului de acces)

Phishing

Reprezintă o încercare de a obține direct de la utilizatori informații confidențiale (detalii


conturi, parole ș.a.). Phisihing-ul se efectuează de obicei prin e-mail sau prin mesagerie
instantanee. Utilizatorii sunt dirijați spre un site web falc, al carui aspect este similar cu site-
ul original legitim. Deoarece mizează pe buna credință a utilizatorilor, poate fi considerat și o
formă de inginerie socială.

Clickjaking

Este cunoscut sub numele de atac la interfața utilizator sau hijaking și reprezintă o tehnică
malițioasă de deturnare a comenzilor afișate în interfețele GUI sau de modificare a
hyperlink-urilor generate de acestea, determinându-l pe utilizator sa facă click pe un alt
buton decât cel ales de el și ducându-l astfel la o alta pagina web decat cea dorită.
Similar, tehnica hijaking poate fi utilizată pentru atcuri de la tastatură. O combinație de
atacurile de la tastatură. O combinație înșelătoare de foi de stil, cadre, butoane și casete de
text țl face pe utilizator să creadă că introduce parole sau alte informații pe o pagină web
autentică, când de fapt a fost canalizat către una controlată de atacator.

Ingineria socială
Reprezintă un ansamblu de practici de manipulare psihologică în scopuri infracționale
(escrocherie). Exploatarea slăbiciunilor psihologice (încrederea, ignoranța, credulitatea),
sociale sau organizaționale urmărește obținerea unor bunuri, servicii, sau a accesului fizic la
informații confidențiale.

Principalele tehnici de inginerie socială sunt:


- pretextul (pretexting) – denumit și blagging sau blohoing constă în a folosi un
scenariu inventat, dar credibil, pentru a determina victima să divulge informații
confidențiale (ex: înregistrări bancare, telefonice, de afaceri) sau să efectueze acțiuni
neautorizate.
- furtul prin diversiune (diversion theft) – denumit și Corner Game, reprezintă un
atac efectuat asupra unor companii de transport sau de curierat, pentru a convinge
responsabilii că adresa de livrare este alta decat cea corectă.
- spear phishing – constă în trimiterea unor e-mailuri personalizate doar cîtorva
utilizatori finali (phishing suliță). Rata de succes a atacului este mult mai mare (50%),
decât cea a phishingului clasic (5%).
- water holing – strategie care exploatează încrederea utilizatorilor în anumite site-uri,
pe care aceștia le accesează frecvent și au încredere în ele. Astfel, un link malițios
plasat pe un astfel de site va fi acționat de victime cu mai puțină ezitare.
- baiting (momeala) – se bazează pe curiozitatea sau lăcomia victimei., căreia i se
oferă un program cu o etichetă incitantă, plasat de obicei pe suporți media detașabili
(ex: stick USB, DVD etc.). Suportii apar ca fiind pierduti in diferite locuri.
- quid pro quo (o favoare pentru alta) – atacatorul apelează victimele în numele
serviciului de asistență tehnică, oferindu-le chiar și mici cadouri. Acestea solicită
ajutor pentru rezolvarea unor probleme. În timpul intervenției pot fi accesate
informații sau plasate programe malware.
- tailgating – atacatorul patrunde într-o zonă cu control acces electronic, apelând la
amabilitatea unei persoane care deține un mijloc de acces valid (ex: card, cod
numeric etc.) și intrând împreună cu acesta.

Măsuri ale organizațiilor pentru reducerea riscurilor de securitate prin inginerie sociale:

- stabilirea unor cadre de încredere la nivel de angajat (specificații când / unde / de


ce/ cum trebuie manipulate informațiile sensibile.
- identificarea informațiilor sensibile și evaluarea expunerii lor la ingineria socială.
- stabilirea protocoalelor de securitate, a politicilor și procedurilor de manipulare a
informațiilor sensibile și instruirea angajaților.
- Efectuarea unor teste neanunțate, periodice, ale cadrului de securitate.
-

Sisteme cu risc de atacuri


Principalele sisteme informatice expuse pericolului atacurilor suntȘ

Sistemele financiare – autorități și instituții financiare, bănci, burse, bancomate, sisteme


electronice de plăți.

Sistemele industriale și pentru utilități – telecomunicații, centrale nucleare, rețele de


distribuție elctricitate, gaze, apă, contoare inteligente wireless. (worm Stuxnet a infectat
computere neconectate la Internet).

Aviația – industria de avioane, navigația aerienă, comunicațiile radio, sistemele de


radiolocație, atacuri directe în aeronave.

Dispozitivele individuale – desktop, laptop, smartphones și rețele de telefonie mobilă,


camere video, music players, receptoare GPS, dispozitive de alarmare, supraveghere și
control acces, rețele wireless wifi, alte gadgeturi inteligente.

Corporațiile – în special cele care gestioneaza cărți de credit sau stochează volume mari
de date ale clienților. Spionajul comercial și industrial. Atacurile cibernetice sau spionajele
interstatale. Rețelele sociale mondiale (ex: Twitter, Facebook).
Industria automobilistică – automobilul computerizat, sistemele de asistență pentru șoferi,
automobilul autonom, controlul traficului auto, rețelele de comunicație wifi si bluetooth între
actorii din trafic.

Guvernele – instituțiile guvernamentale, rețelele informatice de control militar, poliția,


sistemele de evidență computerizate, falsificarea banilor, a actelor de identitate, a altor
documente securizate.

Aparatura medicală – dispozitive de protezare, aparate pentru diagnostic, imagistică


medicală, baze de date medicale, sistemele de prescriere medicamente.

Internet of Things – vulnerabilități în rețelele fizice de conectare ale senzorilor și


echipamentelor, sistemele încorporate, dispozitivelor de securitate.

Protecția calculatoarelor

Diminuarea riscurilor de securitate se poate obține printr-o serie de contramăsuri de


securitate. Contramăsura este o acțiune, un dispozitiv, o procedură sau o tehnică care
reduce o amenințare, o vulnerabilitate sau un atac, fie prin eliminarea sau prevenirea
acestuia, fie prin minimizarea daunelor pe care le poate provoca (prin descoperire, raportare
și inițierea unor acțiuni corective).

Contramăsurile de securitate uzuale sunt următoarele:

Securitatea prin proiectare (design) – este o metodă a ingineriei software care vizează ca,
prin proiectare, programul să aibă asigurată o securitate maximă.
Tehnicile utilizate în această abordare includ :
- principiul celor mai putine privilegii (fiecare parte a sistemului are doar privilegii
necesare funcției sale);
- teoreme automate, pentru demonstrarea corectitudinii subsistemelor software
esențiale;
- revizuirea codurilor și testarea unităților, pentru a obține module mai sigure atunci
când aplicarea teoremelor o cere;
- apărarea în adâncime, designul este astfel conceput încât, pentru a compromite
integritatea sistemului, trebuie atacat mai mult de un subsistem;
- setări securizate prestabilite, prin proiectarea pentru a funcționa cu defect in
siguranta, mai degrabă decât pentru defect în nesiguranță (a se vedea eșecul pentru
echivalent în ingineria siguranței). În mod ideal, un sistem securizat ar trebui să
necesite o decizie deliberată, conștientă, informată și liberă din partea autorităților
legitime, pentru a-l face pe acesta nesigur.
- traseele auditul care urmăresc activitatea sistemului, astfel încât atunci când apare o
încălcare a securității, se poate determina mecanismul și amploarea încălcării.
- dezvăluirea completă a tuturor vulnerabilităților, pentru a se asigura că "fereastra de
vulnerabilitate" este menținută cât mai îngustă posibil.
Arhitectura de securitate IT – reguli unificate de proiectare care descriu modul în care sunt
aplicate controalele de securitate (contramăsuri de securitate) în funcție de necesitățile și
potențialele riscuri implicate într-un anumit scenariu și modul în care acestea se raportează
la arhitectura generală a sistemului.
Controalele au scopul de a menține atributele de calitate ale sistemului: confidențialitate,
integritate, disponibilitate, responsabilitate și servicii de asigurare
Atributele cheie ale arhitecturii de securitate sunt:
- relațiile între componente și modul în care acestea depind una de cealaltă;
- determinarea controalelor pe baza evaluării riscurilor, a bunelor practici, a finanțelor
și a aspectelor juridice;
- standardizarea controalelor.

Măsuri de securitate
Starea de securitate a calculatorului este un ideal conceptual, ce poate fi atins prin utilizarea
a trei procese: prevenirea, detectarea și răspunsul la amenințări.

Aceste procese se bazează pe mai multe politici și componente ale sistemului, printre care:
- conturi de acces utilizator și criptografia pot protejarea fișierele de sistem și –
respectiv – a datelor;
- firewall-urile (hard sau soft), sunt cele mai comune sisteme de prevenire pentru
securitatea rețelelor.Configurate corect, protejează accesul la serviciile de rețea
interne și blochează anumite tipuri de atacuri prin filtrarea pachetelor;
- programele de detecție a intruziunilor (Intrusion Detection Systems - IDS) detectează
atacurile de rețea în curs de desfășurare și asistă cercetarea criminalistică post-atac,
în timp ce traseele de audit și jurnalele îndeplinesc funcții similare pentru sistemele
individuale.

Răspunsul la un atac de securitate pornește de la modernizarea simplă a protecției (bazată


în principal pe măsuri "preventive"), până la notificarea autorităților legale, contra-atacuri
sau chiar distrugerea sistemului compromis.

Managementul vulnerabilității - este o practica ciclică de identificare, clasificare, remediere


și atenuare a vulnerabilităților, în special în domeniul software-ului. Este integrată în
securitatea calculatorului și a rețelei.

Vulnerabilitățile cunoscute pot fi descoperite cu ajutorul unui scanner de vulnerabilitate, care


analizează sistemul informatic în căutare de vulnerabilități cunoscute, cum ar fi porturile
deschise, configurațiile software nesigure și susceptibilitatea la infecții malware.

Vulnerabilitățile necunoscute (numite zero day) - pot fi găsite cu un soft de testare automat
numit fuzz test.

Un software-ul antivirus capabil de analiză euristică poate descoperi malware


nedocumentat, atunci când găsește software care se comportă suspicios.

Corectarea vulnerabilităților poate consta în instalarea unui patch, modificarea politicii de


securitate a rețelei, reconfigurarea software-ului sau educarea utilizatorilor cu privire la
ingineria socială.
Mecanisme de protecție hardware – oferă o resursă suplimentară de protecție, alături de
securitatea software.
Dispozitivele utilizate sunt:
- cheile USB, utilizate fie în schemele de licențiere pentru a debloca capabilitățile
software, fie pentru a împiedica accesul neautorizat la un computer sau la alt
software, fie pentru a bloca sau debloca un calculator. Cheia poate stoca o schemă
de criptare, cum ar fi Advanced Encryption Standard (AES) ;
- modulele de securitate (Trusted Platform Modules – TPM) – sunt microprocesoare
(de tip computer-on-chip), care asigură integrarea unor capabilități criptografice pe
dispozitive de acces. Ele permit, alături de software de tip server, detectarea și
autentificarea dispozitivelor hardware, împiedicând accesul neautorizat la rețea și
date;
- comutatorul pentru detectarea acțiunii asupra carcasei calculatorului este un buton
care se declanșează atunci când aceasta se deschide, iar firmware-ul este
programat pentru a afișa o alertă operatorului;
- unitățile de blocare sunt în esență instrumente software pentru a cripta unitățile hard
disk sau alte unități externe;
- dezactivarea porturilor USB este o opțiune de securitate pentru prevenirea accesului
neautorizat. Cea mai frecventă amenințare hardware cu care se confruntă rețelele de
calculatoare este conectarea unei key USB infectate pe un computer situat dincolo
de paravanul firewall;
- dispozitivele de control acces pentru echipamentele mobile sunt în creștere de
utilizare datorită omniprezenței telefoanelor mobile. Capacitățile de control pot fi și
încorporate (tehnologii Bluetooth low energy, comunicarea Near field- (NFC), coduri
QR, validarea biometrică).

Sisteme de operare securizate – ale căror cerințe sunt specificate în standarde (Orange
Book – USA, ISO / IEC 15408). Ex: Integrity-178B, utilizat la Airbus A380 și mai multe
avioane militare.

Securizarea codului - vizează prevenirea introducerii accidentale a vulnerabilităților de


securitate, încă din faza de scriere a codului de program (securizare prin design). În
ingineria software, se utilizează mai ales protocoalele criptografice.

Capabilități versus control acces – pentru separarea privilegiilor în cadrul sistemelor


informatice s-au impus listele de control al accesului (ACL) și securitatea bazată pe
capabilități.

Utilizarea ACL-urilor pentru a restrânge accesul la programe s-a dovedit nesigură în unele
situații (confused deputy problem - computerul gazdă este înșelat să permită în mod indirect
accesul la fișiere restricționate).
Capabilitățile rezolvă problema, pot fi integrate și la nivel de limbaj (ex: E-language, un
proiect open source), dar ele sunt utilizate restrâns. Sistemele de operare comerciale încă
utilizează ACL-uri.
Cele mai sigure computere sunt cele care nu sunt conectate la Internet și sunt protejate de
orice interferență. În lumea reală, cele mai sigure sunt sistemele de operare în care
securitatea nu este un add-on.
Răspunsuri la violările de securitate

Replicile la încercările de încălcare a securității informatice sunt foarte dificile, deoarece


identificarea atacatorilor nu este facilă, aceștia sunt adesea într-o jurisdicție diferită față de
sistemele pe care încearcă să le penetreze, atacurile se fac prin proceduri anonime (proxy,
conturi dial-up temporare, conexiuni wireless), în cazul atacurilor reușite se sterg jurnalele
pentru a-și acoperi urmele.

Numarul atacurilor este atat de mare incat organizatiile nu isi pot petrece timpul urmarind
fiecare atacator. Majoritatea acestor atacuri sunt făcute de scanere automate de
vulnerabilitate și viermi de calculator.

Responsabilii cu aplicarea legii nu sunt adesea familiarizați cu tehnologia informației și astfel


nu dispun de competențele și interesul de a urmări atacatorii. Există, de asemenea,
constrângeri bugetare (tehnologiile criminalistice sofisticate, cum ar fi testarea ADN-ului,
implică mai puțini bani decât cele pentru detectarea atacatorilor informatici) și constrângeri
legate de procedurile judiciare solicitate (mandate de percheziție, autorizarea unor
înregistrări ș.a.)

Tipuri de instrumente pentru securitate și confidențialitate

 Access control
 Anti-keyloggers
 Anti-malware
 Anti-spyware
 Anti-subversion software
 Anti-tamper software
 Antivirus software
 Cryptographic software
 Computer-aided dispatch (CAD)
 Firewall
 Intrusion detection system (IDS)
 Intrusion prevention system (IPS)
 Log management software
 Records management
 Sandbox
 Security information management
 SIEM
 Anti-theft
 Parental control
 Software and operating system updating

Evenimente notabile de încălcare a securității

Primul vierme de calculator (worm)

La 2 noiembrie 1988, multe din cele 60 000 de calculatoare conectate la Internet


(majoritatea mainframes, minicomputers și stații de lucru profesionale) au început să-și
încetinească lucrul, deoarece rulau un cod rău intenționat care solicita timp mare de
procesor. Acest program a fost scris de Robert Tappan Morris Jr., 23 de ani, absolvent
Universității Cornell, care a declarat că a vrut să numere computerele conectate la Internet.

Rome Laboratory

În 1994, au fost efectuate de către crackeri necunoscuți peste o sută de intruziuni în Rome
Laboratory, principala unitate de comandă și cercetare a Forțelor Aeriene ale SUA. Utilizând
cai troieni, hackerii au reușit să obțină acces nelimitat la sistemele din rețea și să elimine
urmele activităților lor.

Carduri de credit pentru clienții TJX

În anul 2007, compania americană pentru articole de îmbrăcăminte și bunuri de uz casnic


TJX a anunțat că a fost victima unei intruziuni neautorizate în sistemele informatice și că
hackerii au accesat date de pe carduri de credit, de debit, cecuri și tranzacții cu mărfuri.

Atacul Stuxnet

Viermele de calculator Stuxnet, a ruinat aproape o cincime din centralele nucleare ale
Iranului, prin întreruperea controlerelor PLC, printr-un atac orientat, probabil lansat de Israel
și Statele Unite.

Dezvăluiri de supraveghere globală

La începutul anului 2013, documentele furnizate de Edward Snowden (publicate de The


Washington Post și The Guardian), au expus amploarea masivă a supravegherii globale de
către National Security Agency (NSA). S-a arătat de asemenea că NSA a introdus deliberat
o backdoor într-un standard NIST pentru criptare și a accesat legăturile dintre centrele de
date Google.

Furturile de la Target Corporation și Home Depot

În 2013 și 2014, "Rescator", o organizație de hacking ruso-ucraineană, a intrat în


computerele Target Corporation, furând 40 de milioane de carduri de credit și apoi în
computerele Home Depot, de unde au furat între 53 și 56 milioane cărți de credit. Cu toate
că au fost difuzate avertismentele la ambele corporații, ele au fost ignorate. S-a apreciat de
către specialiști că malware-ul folosit era absolut nesofisticat și că el ar fi putut fi oprit cu
ușurință de programele antivirus existente.

Spargerea Biroul de gestionare a personalului

În aprilie 2015, USA Office of Personnel Management a descoperit că în urma unei încălcări a
securității datelor veche de mai mult de un an i-au fost furate aproximativ 21,5 milioane de
înregistrări de personal administrate de birou. Datele vizate de încălcare au inclus informații
de identificare personală, cum ar fi numerele de securitate socială, numele, datele și locurile
de naștere, adresele și amprentele digitale ale actualilor și foștilor angajați guvernamentali.
Se crede că hack-ul a fost comis de hackeri chinezi, dar motivația rămâne neclară.

Furtul de date de la Ashley Madison


În iulie 2015, grupul de hackeri intitulat "The Impact Team" penetrat site-ul de relații
matrimoniale Ashley Madison și a afirmat că au luat date despre companie și despre
utilizatori. După furt, echipa Impact a cerut închiderea site-ului, în caz contrar amenințând cu
publicarea acestor date. lansat e-mailuri de la CEO-ul companiei, pentru a-și dovedi punctul
de vedere și a amenințat că va arunca datele despre clienți, cu excepția cazului în care site-
ul Web a fost deconectat definitiv. Până la urma, site-ul nu s-a închis, dar responsabilii săi
au demisionat.