Sunteți pe pagina 1din 9

1.

Securitatea informaţiei şi criptografia


 Securitatea informației se ocupă cu protejarea informației și sistemelor informatice de accesul neautorizat,
folosirea, dezvăluirea, întreruperea, modificarea or distrugerea lor. Cele trei componente ale securității
informației sunt: confidențialitatea, integritatea și disponibilitatea. Confidențialitatea este asigurata prin
criptarea informației. Integritatea se obține prin mecanisme și algoritmi de dispersie. Disponibilitatea e
asigurata prin întărirea securității rețelei sau rețelelor de sisteme informatice și asigurarea de copii de siguranță.

 Criptografia reprezintă o ramură a matematicii care se ocupă cu securizarea informației precum și cu


autentificarea și restricționarea accesului într-un sistem informatic. În realizarea acestora se utilizează atât
metode matematice (profitând, de exemplu, de dificultatea factorizării numerelor foarte mari), cât și metode de
criptare cuantică. Termenul criptografie este compus din cuvintele de origine greacă κρυπτός kryptós (ascuns)
și γράφειν gráfein (a scrie).

2. Criptografia. Terminologie de baza. Istoria Criptografiei


Criptografia studiază metode de a trimite mesaje sub o formămascată aşa încâttransformarea mesajului din forma lui
secretă în cea iniţială să poată fi realizată doar de persoana dorită/ autorizată.

Istoria criptografiei
Primele informatii referitoare la criptografie provin din Egipt – acum 4000 ani
Grecii au folosit transpozitia – sec. 5 i.e.n.
Cifrul lui Julius Caesar – tehnica substitutiei
Italianul Alberti – cifrul polialfabetic, 1466
Cifrul Vigenere – cifru polialfabetic
Razboiul civil din SUA – Lincoln trimite mesaje la generali
Primul razboi mondial
Scrisoarea lui Zimmermann catre
presedintele mexican – 1917
Se mentiona ca Germania ataca SUA
Decriptata de englezi
SUA declara razboi Germaniei
Al doilea razboi mondial
Japonia cripteaza mesaje in legatura cu
itinerariul amiralului Yamamoto – 1943– Japanese Naval code 25, JP-25
SUA intercepteaza mesajul – sparge codul
SUA distruge avionul care-l transporta pe Yamamoto
Al doilea razboi mondial - ENIGMA
Masina ENIGMA construita de A. Scherbius in 1919
Adoptata de Fortele Navale in 1926, Fortele Aeriene in 1935
Mesajul criptat era transmis prin radio utilizind codul Morse
Un agent secret francez copiaza manualul de instructiuni Enigma
Copia ajunge in Polonia
Matematicianul Rejewski descopera cheia de criptare dintr-o zi (in 18 luni)
Mesajele au fost decriptate
Aliatii au interceptat mesaje cu privire la atacul U-boat in Atlantic
Au interceptat debarcarea germanilor in Creta
Rejewski a fugit in Romania, apoi in Franta

Data Encryption Standard (DES) – 1976


Pretty Good Privacy (PGP) – 1980, autor
Philip Zimmermann– Criptare e-mail
Protocolul Diffie-Hellman pentru schimbul de chei – 1976
Criptosistemul RSA – 1977- criptografia cu chei publice
2000 - NIST confirma noul “AES”
–5 finalisti:
–MARS(IBM - USA)
–RC6 (RSA Labs - USA)
–Rijndael(Daemen and Rijmen - Belgium)
–SERPENT(Anderson, Biham, and Knudsen -
UK, Israel, Norway)
–TWOFISH(Schneier, Kelsey, et al. - USA)
Cistigatorul este Rijndael, 2000
3. Criptosisteme și rolul acestora
Un criptosistem defineste o pereche de transformari de date denumite criptare si decriptare.
Existã douã tipuri de sisteme criptografice:
• simetrice (cu cheie secretã) care folosesc aceeasi cheie, atît la cifrarea cît si la descifrarea mesajelor;
• asimetrice (cu chei publice) care folosesc chei distincte de cifrare si descifrare (dar legate una de alta).

Pentru a crea un sistem criptografic care va rezolva problemele securitãții informaționale sigur și eficient este nevoie
de folosit primitivele criptografice în grup dupã cerinþe.

Un sistem criptografic (criptosistem) este compus din:


• M-text clar;
• C-text cifrat;
• 2 functii inverse E() si D();
• un algoritm care produce cheile Ke si Kd

4. Criterii de clasificare a sistemelor criptografice


Din punct de vedere algoritmic si al domeniului de aplicare criptografia poate fi divizatã în patru primitive
criptografice:
 algoritmi criptografici cu cheie secretã;
 algoritmi criptografici cu chei publice;
 semnãturã digitalã
 funcții dispersive(rezumat).

5. Criptosisteme simetrice (convenționale) cu cheie secretă


 simetrice (cu cheie secretã) care folosesc aceeasi cheie, atît la cifrarea cît si la descifrarea mesajelor;

6. Cifruri de substituție: Cezar, Playfair, Hill, Vernam


Cifrul substituției este o metodă de criptare prin care unități din text sunt înlocuite cu criptotext conform unui sistem
regulat;

cifrul lui Cezar este una dintre cele mai simple și mai cunoscute tehnici de criptare. Este un tip de cifru al substituției,
în care fiecare literă din textul inițial este înlocuită cu o literă care se află în alfabet la o distanță fixă față de cea
înlocuită. De exemplu, cu o deplasare de 5 poziții, A este înlocuit cu D, Ă devine E și așa mai departe.

cifrul lui Playfair a fost inventat in 1854. cifrul prevede criptarea perechilor de simboluri spre deosebire de alte cifruri
car folosesc criptarea unui singur simbol. Astfel acest cifru este mult mai rezistent la atacuri.

cifrul Hill este un cifru al substituției poligrafic bazat pe algebră lineară. Inventat de către Lester S. Hill în 1929, a fost
primul cifru poligrafic în care era practic posibil să se opereze cu mai mult de trei simboluri deodată.

cifrul lui Vernam constă într-o cheie constituită dintr-un şir se caractere aleatoare nerepetitive. Fiecare literă a cheii se
adaugă modulo 26 la o literă a mesajului clar. Lungimea şirului de caractere a cheii este egală cu lungimea mesajului.
Metoda este foarte utilă pentru criptarea mesajelor scurte.
7. Cifru de transpoziție/permutare
cifrul transpoziției schimbă un caracter din mesajul inițial cu un altul (pentru decriptare se face operația inversă). Cu
alte cuvinte, se schimbă poziția caracterelor. Matematic, se folosește o funcție bijectivă pe pozițiile caracterelor pentru
criptare și funcția inversă pentru decriptare.

8. Criptografia computațonală cu cheie secretă: DES, AES, Triple-DES, IDEA, Blowfish, RC5
DES este un cifru (o metodă de criptare a informației), selectat ca standard federal de procesare a informațiilor în
Statele Unite în 1976, și care s-a bucurat ulterior de o largă utilizare pe plan internațional. Algoritmul a fost
controversat inițial, având elemente secrete, lungimea cheii scurtă și fiind bănuit că ascunde de fapt o portiță pentru
NSA. DES a fost analizat intens de către profesionaliști în domeniu și a motivat înțelegerea cifrurilor bloc și
criptanaliza lor.
DES este astăzi considerat nesigur pentru multe aplicații. Acest lucru se datorează în principiu cheii de 56 de biți,
considerată prea scurtă; cheile DES au fost sparte în mai puțin de 24 de ore. De asemenea, există unele rezultate
analitice care demonstrează slăbiciunile teoretice ale cifrului, deși nu este fezabilă aplicarea lor. Se crede că algoritmul
este practic sigur în forma Triplu DES, deși există atacuri teoretice și asupra acestuia. În ultimii ani, cifrul a fost
înlocuit de Advanced Encryption Standard (AES).

AES cunoscut și sub numele de Rijndael, este un algoritm standardizat pentru criptarea simetrică, pe blocuri, folosit
astăzi pe scară largă în aplicații și adoptat ca standard de organizația guvernamentală americană NIST. În propunerea
avansată NIST, cei doi autori ai algoritmului Rijndael au definit un algoritm de criptare pe blocuri în care lungimea
blocului și a cheii puteau fi independente, de 128 de biți, 192 de biți, sau 256 de biți. Specificația AES standardizează
toate cele trei dimensiuni posibile pentru lungimea cheii, dar restricționează lungimea blocului la 128 de biți. Astfel,
intrarea și ieșirea algoritmilor de criptare și decriptare este un bloc de 128 de biți. În publicația FIPS numărul 197,
operațiile AES sunt definite sub formă de operații pe matrice, unde atât cheia, cât și blocul sunt scrise sub formă de
matrice. La începutul rulării cifrului, blocul este copiat într-un tablou denumit stare (în engleză state), primii patru
octeți pe prima coloană, apoi următorii patru pe a doua coloană, și tot așa până la completarea tabloului.

Triple-DES. Când s-a descoperit că cheile pe 56 de biți folosite de DES nu sunt suficiente pentru a proteja împotriva
atacurilor cu forță brută, 3DES a fost ales ca modalitate simplă de a mări spațiul cheilor fără nevoia de a trece la un nou
algoritm. Utilizarea a trei pași este esențială pentru a evita atacurile meet-in-the-middle care sunt eficiente împotriva
criptării duble cu DES. Mulțimea funcțiilor de criptare DES cu toate cheile posibile nu formează cu operațiunea de
compunere a funcțiilor o structură matematică de grup; dacă ar fi fost așa, construcția 3DES ar fi fost echivalentă cu o
operațiune DES și astfel, la fel de nesigură ca aceasta.

IDEA – folosește chei de 128 biți și blocuri de 64 biți, textul fiind împărțit în blocuri de 64 biți. Daca o așa împărțire
nu este posibilă, ultimul bloc se completează cu ajutorul a diferitor metode de determinare a consecutivității de biți.
Fiecare bloc de 64 biți se împarte în 4 blocuri a cîte 16 biți fiecare. Pentru cifrare și decifrare se folosește același
algoritm. Operațiile fundamentale folosite în algoritm sunt : adunarea cu modulul 2 16, îmulțirea cu modulul 216+1,
XOR.

Blowfish – este un algoritm simetric de criptare și a fost creat de către Bruce Schneier în anul 1993 și publicat tot în
acest an. Folosește chei de 32 pîna la 448 biți. Mărimea blocurilor de informație folosite este de 64 biți. Este bazat pe
operații simple și rapide ca XOR, adunarea.

RC5 - o fost creat de Ron Rivest în anul 1994 și publicat tot în acest an. Mărimea cheii folosite este de la 0 pîna la
2040 biți. Implicit se folosește o cheie de 128 biți. Mărimea blocurilor poate fi de 32, 64 sau 128 biți. Pe platformele
x86 se folosește implicit mărimea de 64 biți. În implementarea clasică a acestui algoritm se folosesc operațiile: adunare
cu modulul 2w, XOR, permutarea biților (x<<<y)
9. Atacuri asupra securității unui sistem criptografic
Atacul asupra securităţii unui sistem criptografic defineşte orice acţiune ce compromite
securitatea acelui sistem.
Atacurile criptografice pot fi îndreptate împotriva :
- algoritmilor criptografici
- tehnicilor utilizate pentru implementarea algoritmilor protocoalelor
- protocoalelor
După modelul de atacare al unui atacator / intrus / persoană neautorizată / pirat ( attacker /
intruder / pirat), aceste atacuri se pot clasifica după cum urmează:
• atacuri pasive (de intercepţie):
- de înregistrare a conţinutului mesajelor
- de analiză de trafic;
• atacuri active :
- de întrerupere (atac la disponibilitate)
- de modificare (atac la integritate)
- de fabricare(atac la autenticitate).

10. Atacuri criptoanalitice


Atacurile criptanalitice sunt atacuri asupra textelor cifrate în vederea obţinerii textului în clar
sau a cheilor folosite pentru decriptare .
Există mai multe tipuri de asemenea atacuri dintre care amintim:
1) Atac asupra textului cifrat (cipher text-only attack
2) Atac asupra unui text cunoscut (chiper text - only attack)
3) Atac cu text în clar ales (chosen plain-text attack)
4) Atac cu text în clar ales adaptiv (adaptive chosen plain-text attack
5) Atac cu text cifrat la alegere (chosen cipher-text attack
6) Atacul de “cumpărare” a cheii(rubber-hose cryptanalysis / purchase-key attack

11. Securitatea algoritmilor de criptare


Diferiţii algoritmi pot asigura diferite grade de securitate, funcţie de dificultatea cu care pot fi sparţi:
• dacă costul spargerii unui algoritm este mai mare decât valoarea datelor criptate, algoritmul
este probabil sigur (PS);
• dacă timpul necesar spargerii este mai mare decât valabilitatea datelor criptare, algoritmul este PS
• dacă mulţimea datelor necesare spargerii este mai mare decât mulţimea datelor criptate la un
moment dat de o cheie, algoritmul este PS;
Lars Knudsen - în teza de doctorat susţinută în 1944 - a clasificat diferitele categorii de spargere
a unui algoritm în ordine crescătoare a securităţii:
1)Spargere totală (total break) / securitate zero: un criptanalist găseşte cheia, deci orice
criptograma va fi decriptată: Dk ( . C) = M
2)Deducţie globală (global deduction): criptanalistul găseşte un algoritm alternativ echivalent
cu ) Dk (C fără a cunoaşte cheia k.
3)Deducţie locală (local deduction): un criptanalist găseşte textul în clar al unui text cifrat
interceptat.
4)Deducţia informaţională (informaţional deduction): criptanalistul capătă unele informaţii
privitor la cheie sau la textul în clar (de exemplu câţiva biţi ai cheii, anumite informaţii privitoare la
M etc.)
5)Algoritm computaţional puternic (computaţional strong) este algoritmul care poate fi spart cu
resursele existente, atât la momentul curent, cât şi într-un viitor predictibil.
6)Algoritm necondiţionat sigur (unconditional secure) este algoritmul pentru care indiferent cât
text cifrat are criptanalistul, informaţia nu este suficientă pentru a deduce textul în clar. Privitor la
aceşti din urmă termeni trebuie atenţionat că sunt extrem de expuşi interpretărilor
12. Criptosisteme asimetrice (neconvenționale) cu chei publice
În locul unei singure chei, secrete, criptografia asimetrică foloseşte două chei, diferite,
una pentru cifrare, alta pentru descifrare. Deoarece este imposibilă deducerea unei chei din cealaltă,
una din chei este făcută publicã fiind pusă la dispoziţia oricui doreşte să transmită un mesaj cifrat. 8
Doar destinatarul, care deţine cea de-a doua cheie, poate descifra şi utiliza mesajul. În sistemele cu
chei publice, protecţia şi autentificarea sunt realizate prin transformări distincte

13. Autentificare şi identificare. Semnături digitale cu chei publice: RSA, DSA/DSS, ECDSA
Semnăturile digitale sunt folosite pentru:
 Sunt folosite pentru a autentifica transmitatorul si validitatea unui mesaj.
 Sunt folosite pentru a autentifica transmitatorul si validitatea unui mesaj.
 Sunt construite utilizind tehnologia criptografiei cu chei publice.

Semnatura Digitala RSA


 Functia Hash: Functie “one-way”care mapeaza valori dintr-un domeniu larg intr-o valoare (rezumat) de 160 biti
 Daca y = f(x), atunci este foarte greu de calculat:x = f -1(y)
 La o minora schimbare in input va produce la output o valoare hash total diferita.
Semnatura digitala DSA/DSS
 Standardul de Semnatura Digitala(DSS) emis de National Institute of Standards and Technology (NIST)
defineste Algoritmul de Semnatura Digitala
 Bazat pe Problema Logaritmului Discret
 Similar cu algoritmul RSA.

Semnatura digitala ECDSA(Semnatura digitala Bazata pe Curbe Eliptice)


 Similar cu RSA si DSA, dar mult mai eficient la implementare
 Poate fi utilizat pentru cartele inteligente (smart cards)
 Bazat pe Problema Logaritmului Discret
 Varianta bazata pe curbe eliptice a DSA este numita Elliptic Curve Digital Signature Algorithm (ECDSA).

14. Ascunderea informației. Steganografia


Cuvântul steganografie (steganography) vine din limba greacă unde steganos înseamnă ascuns şi graph scris (scriere
ascunsă). Prin urmare putem spune că steganografia este ştiinţa sau arta de a scrie mesaje ascunse astfel încât existenta
lor să fie cunoscută numai de destinatar şi expeditor.
Steganografia este folosită pentru a ascunde mesaje (fişiere) în alte fişiere mai mari şi anume în imagini de tip jpg,
bmp, png, în fişiere audio (mp3 sau wav) sau chiar video (avi) fără a exista posibilitatea ca o terţă persoană să ştie sau
să afle de existenţa lor.

15. Atacuri de securitate


Atacuri de securitate: Orice acţiune care compromite securitatea informaţiilor dintr-o organizaţie.

16. Servicii de securitate


Servicii de securitate: Serviciile de securitate au menirea de a contabiliza atacurile de securitate şi apoi de a utiliza unul
din mecanismele de securitate pentru a împiedica aceste atacuri.

17. Mecanisme de securitate


Mecanisme de securitate: Un mecanism de securitate este conceput pentru a detecta, preveni un atac de securitate.
18. Metode de protecţie: firewall, programe antivirus, detectarea software-ului maliţios, detectarea punctelor
vulnerabile

Firewall - este un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să
intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite.
Antivirus - este folosit în general pentru prevenirea și eliminarea virușilor de computer, viermilor și cailor troieni, de
asemenea poate detecta și elimina adware, spyware și malware.
Tipuri de software malițios – softuri infectante – viruși și viermi, programe software ascunse – troieni, uși dosnice
(backdoors), cameleoni, programe software pentru pofit – spioni (spyware), rețele de roboți (botnets), apelatori
telefonici, programe software deranjante – reclama (adware), poșta electronică nesolicitată, site-uri capcana (phishing).

19. Sitemul de management al securității informației


- parte a sistemului de management al unei organizaţii, bazată pe analiza riscurilor, destinată elaborării,
implementării, operării, supravegherii, menţinerii şi îmbunătăţirii securităţii informaţiilor

20. Managementul riscului


# evaluarea riscurilor – abordare sistematică a:
¤ daunelor care ar putea rezulta în urma unei breşe de securitate
¤ probabilitatea realistă ca un astfel eveniment de securitate sa se produca
# indicarea şi determinarea actiunilorde management potrivite şi a priorităţilor acestora
# implementarea controalelor selectate pentru protecţia împotriva riscurilor
# revizuiri periodice

21. Securitatea Web


Securitatea este un motiv de îngrijorare pentru dezvoltarea oricarui tip de aplicatie. Cu toate acestea, aplicatiile web
dezvaluie anumite caracteristici care trebuie luate în considerare la proiectarea functionalitatilor de securitate si care
solicita mai multe tehnici de securitate, comparativ cu alte tipuri de aplicatii. De exemplu, spre deosebire de
programele care sunt instalate pe o singura masina gazda, aplicatiile web sunt accesibile publicului, pe Internet, pentru
a ajunge la o numar mare de potentiali utilizatori. De exemplu, autentificarea si autorizarea utilizatorilor trebuie sa fie
implementate în mod diferit pentru sistemele folosite de un singur utilizator.

Aspecte ale securitatii aplicatiilor web


. Securizarea calculatorului utilizatorului si a datelor personale stocate pe acesta. Calculatorul clientului si documentele
stocate în sistemul de fisiere trebuie sa fie protejate împotriva accesului neautorizat de catre parti terte, posibil rau
intentionate. Pentru client, datele personale, cum ar fi informatiile de contact sau numerele cardurilor de credit sunt
deosebit de importante si trebuie sa fie pastrate private.

. Securizarea informatiilor în tranzit. Trebuie prevenite eavesdropping si modificarea mesajelor. Securizarea mesajelor
include si autentificarea si autorizarea partilor care comunica si non-repudierea mesajelor.

. Securizarea serverului si a datelor stocate pe el. Trebuie sa se asigure disponibilitatea serviciului, prin eliminarea
atacurilor de tip DoS (denial-of-service). Mai mult decât atât, partile neautorizate trebuie sa fie împiedicate în obtinerea
accesului la informatiile personale ale clientilor, angajatilor si la alte resurse critice ale afacerii (de exemplu, bazele de
date locale).

22. Viruşi, microviruşi. Viruşi polimorfi. Viruşi metamorfi. Viermi


Virus - este în general un program care se instalează singur, fără voia utilizatorului, și poate provoca pagube atât în
sistemul de operare cât și în elementele hardware (fizice) ale computerului.

Virusii polimorfi fac ca detectarea lor de catre scanerele de virusi sa fie dificila, prin schimbarea modul de actiune cu
fiecare noua infectie.
Цель метаморфа похожа на полиморф, но команды программы не перемешиваются с мусором, а сами изменяются. То
есть одни команды реализовываются с использованием других и всегда по разному, при этом код программы
становится абсолютно непонятен взломщику

Un vierme informatic este un program de calculatoar care se poate auto-replica. Acesta folosește rețeaua de
calculatoare pentru a-și trimite propriile copii ȋn alte noduri (calculatoare din rețea), reușind să facă acest lucru fără
intervenția vreunui utilizator. Spre deosebire de un virus informatic, un vierme informatic nu are nevoie să fie atașat la
un program existent. Viermii provoacă daune rețelei, chiar și prin simplul fapt că ocupă bandă, ȋn timp ce virușii corup
sau modifică aproape ȋntotdeauna fișiere de pe computerul țintă.
23. Troieni. Spyware. Adware. Exploit
Troieni - în cazul software-ul computerelor descrie un anumit tip de program spion (care este la rândul său un tip de
software rău intenționat), care apare că ar realiza ceva util, dar care în realitate realizează funcții malefice care permit
accesarea neautorizată a unui calculator, respectiv copierea fișierelor, și chiar controlarea comenzilor calculatorui
penetrat.

Spyware - sunt o categorie de software rău intenționat, atașate de obicei la programe gratuite (jocuri, programe de
schimbat fișiere, programe de chat pornografic, etc.), care captează pe ascuns date de marketing (prin analiza siturilor
pe care le vizitează utilizatorul, de exemplu de modă, pantofi, cluburi de tenis, ș.a.m.d.) și le folosesc apoi pentru a
transmite utilizatorului reclame corespunzătoare dar nesolicitate.

Adware este orice program care afișează reclame la rularea acestuia, reclame care pot fi afișate ca bannere în fereastra
programului, sau de tip pop-up (care deschide ferestre noi cu reclame, deasupra tuturor ferestrelor). Unele programe
adware pot fi considerate o formă de spyware care nu colectează date de marketing, ci doar transmit reclame.

Un exploit este o secvență de cod, o succesiune de date sau un set de comenzi, ce profită de o defecțiune sau de o
vulnerabilitate în scopul de a determina un comportament nedorit sau neprevazut al software-ului, hardware-ului de pe
un calculator sau de pe alt dispozitiv electronic (de obicei computerizat). Acest comportament include în mod uzual
obținerea controlului asupra sistemului de calcul sau permiterea escaladării de privilegii sau refuzului de servicii.

24. Tipuri de atac: buffer overflow, denial of services, phishing


buffer overflow – apare cînd programa înscrie date înafara buferului de memorie alocat. Aceasta este cea mai populara
metoda de atac a programelor, deoarece majoritatea limbajelor de nivel înalt folosesc tehnologia stack frame –
amplasarea datelor în stack-ul procesorului, amestecînd datele programei cu alte date. Buffer overflow poate duce la
terminarea incorecta a execuției programului.

denial of services (DoS attack) - este o încercare frauduloasă de a indisponibiliza sau bloca resursele unui calculator.
Deși mijloacele și obiectivele de a efectua acest atac sunt foarte diverse, în general acest atac este efectul eforturilor
intense ale unei (sau a mai multor) persoane de a împiedica un sit web sau și servicii din Internet de a funcționa
eficient, temporar sau nelimitat. Autorii acestor atacuri au de obicei drept țintă situri sau servicii găzduite pe servere cu
cerințe înalte, cum ar fi băncile, gateway-uri pentru plăți prin carduri de credit și chiar servere în întregime.

O metodă tradițională de atac provoacă „saturarea” calculatorului țintă (victimei) cu cereri de comunicare externe,
astfel ca să nu mai poată reacționa eficient la traficul Internet legitim, sau chiar să devină indisponibil. În termeni
generali, atacurile de tip DoS se realizează pe mai multe căi:
- provocarea unui reset forțat al calculatorului sau al mai multor calculatoare,
- consumarea intensă a resurselor disponibile ale unui server, astfel încât acesta să nu mai poată furniza servicii,
- blocarea comunicațiilor dintre utilizatorii bine intenționați și calculatorul victimă, astfel încât acesta să nu mai
poată comunica adecvat.
Atacurile de tip Denial of Service sunt considerate încălcări ale politicii de utilizare corectă a Internetului elaborate de
Internet Architecture Board (IAB). De asemenea aceste atacuri constituie deseori încălcări ale legislației din țara
respectivă.
Phishing - reprezintă o formă de activitate infracțională care constă în obținerea unor date confidențiale, cum ar fi date
de acces pentru aplicații de tip bancar, aplicații de comerț electronic (ca eBay sau PayPal) sau informații referitoare la
carduri de credit, folosind tehnici de manipulare a datelor identității unei persoane sau a unei instituții.

25. Retele VPN


O rețea privată virtuală (din engleză de lavirtual private network, prescurtat VPN) este o tehnologie de
comunicații computerizata sigura, folosita de obicei în cadrul unei companii, organizații sau al mai multor companii, dar
bazata pe o rețea publică și de aceea nu foarte sigură. Tehnologia VPN este concepută tocmai pentru a crea într-o rețea
publică o subrețea de confidențialitate aproape la fel de înaltă ca într-o rețea privată adevărată la care sunt legați numai
utilizatori autorizați. În mod intenționat această subrețea, denumită totuși "rețea VPN", nu poate comunica cu celelalte
sisteme sau utilizatori ai rețelei publice de bază. Utilizatorii unei rețele VPN pot căpăta astfel impresia că sunt conectați la o
rețea privată dedicată, independentă, cu toate avantajele pentru securitate, rețea care în realitate este doar virtuală, ea de
fapt fiind o subrețea înglobată fizic în rețeaua de bază.

26. Razboiul informațional

27. Comerţul electronic


Comerțul electronic este activitatea de cumpărare sau vânzare prin intermediul transmiterii de date la distanță,
activitate specifică politicii expansive a marketingului companiilor comerciale.

În tranzacțiile comerciale clasice se disting următoarele etape:


- informarea comercială referitoare la tranzacție și anume cercetarea de marketing;
- încheierea contractului comercial general;
- comandarea/vânzarea produsului sau a serviciului;
- plata.

28. Metode si modele de control al accesului


Controlul accesului începe cu stabilirea cerinţelor de acordare a drepturilor de
utilizare a informaţiilor.
Accesul la facilităţile şi serviciile oferite de sistemul informaţional trebuie
controlat în funcţie de specificul şi cerinţele mediului în care îşi desfăşoară activitatea
organizaţia.
Pentru a răspunde acestor cerinţe sunt în general definite o serie de reguli de
acces corelate cu atribuţiile fiecărui utilizator al sistemului informatic.
Menţinerea acestor reguli în linie cu cerinţele organizaţiei implică un proces de
gestiune a accesului utilizatorilor sistemului. Obiectivul acestui proces este să prevină
utilizarea neautorizată a calculatoarelor.
Trebuie să existe proceduri formale prin care să se controleze alocarea
drepturilor de acces la serviciile şi resursele IT.
Utilizatorii autorizaţi trebuie instruiţi cu privire la maniera în care trebuie
raportate activităţile sau acţiunile considerate suspecte.
29. Criminalitate informatică
Criminalitatea informatica în sine constituie mai multe tipuri de infracţiuni, cum ar fi licitaţii electronice frauduloase,
bunuri comandate on-line fraudulos, accesul neautorizat la sisteme informatice, cum ar fi de exemplu la conturile
bancare ale victimelor de unde se pot sustrage bani, transmiterea de viruşi, pornografie infantilă, folosirea de identităţi
false, infracţiuni privind încălcarea drepturilor de autor şi a drepturilor conexe etc.

30. Securitatea poștei electronice


O soluţie pentru asigurarea confidenţialităţii mesajelor transmise prin Internet ar putea consta în
utilizarea unui soft adecvat protecţiei criptografice a scrisorilor schimbate prin poșta electronică. Pentru asigurarea
securităţii acestui serviciu, specialiştii recomandǎ standardul PEM (Privacy Enhanced Mail) şi programul PGP (Pretty
Good Privacy), dar deosebit de utilizat este şi standardul MOSS (Microsoft Office Sharepoint Server), în multe privinţe
foarte asemănător cu PEM.
Scopul declanșării proiectului PEM (Privacy Enhanced Mail) l-a constituit necesitatea asigurării
securităţii transmisiilor între utilizatorii poştei electronice din rețeaua Internet. Eforturile au început în 1985 în cadrul
comisiei PSRG (Privacy and Security Research Group), sub auspiciile consiliului IAB (Internet Architecture Board).
Rezultatele cercetării s-au concretizat în RFC-urile (Request for Coment) 1421-1424 care constituie propuneri de
standarde pentru Internet. Aceste RFC-uri sunt produsul grupului de lucru PEM din interiorul IEFT (Internet
Engineering and Task Force), care face parte din IAB (Internet Architecture Board).

Standardul PEM oferă o varietate de servicii de securitate pentru utilizatorii poştei electronice:
a) confidenţialitatea (secretizarea) mesajelor; 2
b) autentificarea originii mesajelor;
c) integritatea legăturii în reţea;
d) nerepudierea mesajelor prin dovada originii