Sunteți pe pagina 1din 40

****************************Introducere

Acest curs, cu titlul original Cyber Defence Awareness Training, a fost realizat de
către Centrul de Excelență NATO pentru Cooperare în Apărarea Cibernetică din
Tallin, Estonia (CCDCOE).

În baza permisiunii acordate de către CCDCOE, țărilor și instituțiilor membre din


cadrul Grupului de lucru NATO pentru Instruire individuală și dezvoltări
educaționale (NATO Training Group - Task Group on Individual Training and Education
Developments - NTG IT&ED), România are dreptul de a realiza și utiliza versiunea în
limba română a cursului. Aceasta a fost dezvoltată în cadrul Departamentului pentru
învățământ distribuit avansat la distanță, din Universitatea Națională de Apărare
„Carol I”.

Protejarea și securitatea informațiilor nu reprezintă încă o prioritate pentru


multe companii și proiecte, în ciuda omniprezentelor atacuri de tip malware, a
știrilor din presă privind incidentele de securitate informatică, a existenței
virușilor de tip troian produși de actori statali și a creșterii complexității
amenințărilor cibernetice. În faza de proiectare a sistemelor, prioritare sunt
costul, ușurința în exploatare și performanțele, iar elementele de securitate nu
sunt incluse, ci mai degrabă sunt adăugate ulterior.

Sistemele cu multiple funcționalități sunt adesea foarte complexe și modul lor de


operare nu este proiectat în detaliu de la început. În arhitecturile software,
multiplele niveluri de abstractizare pot da naștere unor neclarități și presupuneri
despre ce conțin nivelurile inferioare. Implementarea sistemelor de operare și a
aplicațiilor pe care le folosim pot conține bug-uri și, de aceea, atacurile de tip
„buffer overflow”, prin care un atacator poate scrie într-un buffer mai multe
informații decât poate reține bufferul respectiv, corupând astfel zonele adiacente,
reprezintă încă o vulnerabilitate des întâlnită, deși se vorbește despre ea de mai
mult de un deceniu.

Rețelele sunt mai deschise și mai accesibile decât oricând, prin urmare mai expuse
la amenințări, fiind dificil să depistăm problemele din volumul mare de date pe
care le producem în fiecare zi. Atacuri precum phishingul și furtul de identitate,
care nu sunt în esență de natură tehnică, reușesc din cauza erorilor de utilizare
și a lipsei de informare a utilizatorului.

Caracteristicile atacurilor informatice s-au schimbat în ultimii ani, în sensul că


regăsim din ce în ce mai multe atacuri motivate de latura financiară, iar aspectele
politice devin din ce în ce mai importante.

Atacurile informatice din 2007 asupra Estoniei au arătat că atacurile de tip DDoS
au capacitatea să blocheze site-urile și sistemele a zeci de organizații, bănci,
ministere și publicații, să creeze haos și au generat o mulțime de polemici.

Atacul de tip vierme, „Stuxnet”, a apărut în 2009/2010, fiind creat special pentru
a sabota instalațiile nucleare iraniene. Designul sofisticat și complexitatea sa,
au generat presupunerea că una sau mai multe instituții guvernamentale au fost
implicate pentru crearea lui.

„Red October”, descoperit în octombrie 2012, a fost un atac de tip malware pentru
spionaj cibernetic, despre care s-a constatat că a fost exploatat la nivel mondial
cu până la cinci ani înainte de descoperire, transmițând informații, de la secrete
diplomatice la informații personale, inclusiv de pe dispozitive mobile.

Se poate susține ideea că spionajul cibernetic joacă un rol foarte important


astăzi, iar cercetătorii în domeniul securității admit faptul că mai multe țări au
preocupări intense atât defensive cât și ofensive, în acest domeniu.
Această lecție oferă cunoștințe introductive specifice domeniului securității
cibernetice, în scopul familiarizării cu terminologia de bază privind:

definirea atacului și a vulnerabilității;


clasificarea obiectivelor de securitate și a tipurilor de atac;
diferențierea între diversele tipologii de atacatori.
Veți avea nevoie de aproximativ 10 minute pentru a parcurge această lecție.

Un utilizator nu se poate apăra împotriva tuturor tipurilor de atac și atacatori.


Este important să cunoaștem ce obiective de securitate este necesar să fie
îndeplinite, luând în calcul costurile apărării împotriva unor atacatori
experimentați. Aceste aspecte trebuie clarificate și avute în vedere în
problematica amenințărilor cibernetice pe care trebuie să le cunoaștem și de care
trebuie să ne protejăm.

Acestea sunt obiectivele de securitate care trebuie îndeplinite pentru sistemele


software.

OBIECTE DE SECURITATE
> Confidentialitatea
> Integritatea
> Disponibilitatea

Un atac reprezintă orice acțiune care compromite securitatea informațiilor deținute


de o organizație.

Conceptul de securitate a informațiilor se referă la prevenirea atacurilor sau, în


caz de eșec, cum să fie detectate atacurile asupra sistemelor care colectează,
organizează, memorează și comunică informații (information-based systems).

Adesea, termenii „amenințare” și „atac” sunt folosiți pentru a desemna același


lucru.

Există o gamă largă de atacuri.

Atacurile, într-o anumită măsură, pot fi clasificate și atribuite unei clase de


amenințări. Acest lucru ajută la stabilirea măsurilor de securitate de răspuns
împotriva atacului. În funcție de sistem, unele atacuri ar putea să nu fie posibile
sau relevante.

Faceți click pe filele de mai jos pentru a citi mai multe despre tipurile de atac.

Această categorie (Eavesdropping) conține atacuri care urmăresc accesul neautorizat


sau interceptarea datelor. Un exemplu este analiza traficului, care permite
atacatorului să obțină informații despre partenerii de comunicare.

Analiza traficului on-line poate releva informații confidențiale, dacă acestea nu


sunt protejate corespunzător, un exemplu fiind adresele de e-mail ale expeditorului
și destinatarului.

Atacurile de modificare vizează interceptarea și modificarea comunicării sau


informației în folosul atacatorului. Aceasta include și simpla ștergere sau
întârziere a mesajului.

Atacurile de tip clonare (Spoofing) sau altfel numitele prin deghizare, se referă
la procesul prin care un atacator sau un program își asumă altă identitate.
Partenerii de comunicare pot ajunge în situația de a discuta cu altă entitate.
Atacurile prin reluare presupun retrimiterea copiilor mesajelor originale către un
destinatar, de către atacator, pentru a compromite stabilitatea sistemului.

Repudierea presupune ca emitentul sau destinatarul mesajului să nege că mesajul a


fost emis/primit.

În cazul atacurilor de tip blocare/refuz de servicii, sistemele victimă sunt


încetinite sau întrerupte total. Pentru a obține acest rezultat, atacatorul poate
trimite cereri către server pentru a declanșa erori sau blocaje. De asemenea, poate
intercepta și șterge un răspuns al serverului către client, făcând clientul să
creadă că serverul nu răspunde. Blocările/refuzurile de servicii sunt adesea
declanșate de știri de senzație apărute în media, care țintesc către infrastructuri
informatice construite greșit sau care sunt deja suprasolicitate și care primesc
încărcare suplimentară de la utilizatorii interesați.

O formă specială de blocare/refuz de servicii este atacul de tip DDoS - blocarea


distribuită a serviciului (Distributed Denial of Service) care se referă la
atacatori care folosesc sute sau mii de sisteme pentru a aglomera serviciul. Acesta
este cazul așa numiţilor booţi (botnets) pe care îi vom descrie mai târziu.

Un exploit reprezintă partea unui software care utilizează o vulnerabilitate într-


un sistem sau serviciu, pentru a efectua un atac în scopul provocării scurgerilor
de informații sau compromiterii sistemului.

Exploit-urile sunt folosite direct de către un atacator sau injectate într-un


software pentru a-l transforma într-unul rău intenționat. Mai poate fi utilizat de
către profesioniștii din domeniul securității pentru a testa sistemele, a remedia
vulnerabilități sau a preveni potențiale probleme.

Infractorii individuali și crima organizată constituie cel mai mare grup de


atacatori. Aceștia sunt motivați financiar și efectuează atacuri împotriva
sistemelor și serviciilor, pentru a obține profit. Exemple din plaja de
infracțiuni: colectarea datelor de conectare și a parolelor utilizatorilor;
șantajul cu scopul de a impune o taxă de protecție.

În majoritatea cazurilor, atacurile se efectuează prin introducerea de programe în


computerele utilizatorilor neavizați (acest lucru este explicat mai detaliat în
capitolul următor). Dispozitivele infectate sunt apoi folosite pentru recoltarea
datelor și distribuirea de mesaje spam sau pentru efectuarea atacurilor DoS
(denial-of-service).

Acest lucru înseamnă că cei care execută atacul propriu-zis sunt utilizatori
nevinovați, care nu și-au securizat computerele în mod corespunzător sau care au
instalat un software care conține cod rău intenționat. Sistemul compromis este
controlat de la distanță de atacator. Această situație creează o problemă în
legătură cu responsabilitatea privind atacul cibernetic, deoarece utilizatorul nu
poate fi considerat responsabil pentru pagubele produse de codul rău intenționat.

Distingem două tipuri de agresori interni, care pot efectua atacuri asupra unei
organizații:

intruși cu intenții rele care extrag date confidențiale sau sabotează activitatea
companiei;
angajați forțați să permită atacuri.
În timp ce angajații obișnuiți pot executa involuntar acțiuni rău-intenționate,
amenințarea cea mai îngrijorătoare este produsă de cei autorizați să acceseze date
confidențiale, cum ar fi administratorii.
Serviciile secrete și personalul militar au investit și vor continua să investească
în cercetări legate de programele de securitate cibernetică. Aceștia sunt,
totodată, cei mai avansați și mai bine finanțați atacatori, deoarece beneficiază de
finanțare guvernamentală și de legislația necesară pentru a-și îndeplini misiunea.
În scop de apărare, unele guverne instruiesc persoane pentru a se specializa în
tehnici de atac cibernetic. Un subiect adesea discutat îl reprezintă posibilitatea
unui „război cibernetic”, în care națiunile se atacă reciproc folosind software rău
intenționat și exploit-uri. În viitor, acest tip de atac ar putea juca un rol
important în definirea noilor modele de atacatori, în special în ceea ce privește
spionajul industrial.

Hacktiviștii și grupurile organizate doresc să facă declarații politice, prin


atacuri către organizații sau site-uri web. Cel mai cunoscut tip de atac asociat cu
aceste grupuri este atacul DDoS. Aceste grupuri, în mod regulat, identifică și
exploatează vulnerabilități software, atacă şi apoi dau publicității informații
confidențiale din activitatea companiilor sau a instituțiilor guvernamentale.

Hacktiviștii și grupurile organizate sunt considerați cei mai periculoși atacatori,


pentru că urmează propriile lor interese, care pot contrazice opiniile majorității,
nu au obiective economice și pot fi complet imprevizibili în comparație cu cele
două tipuri prezentate anterior.

Amenințare - O situație sau eveniment din care poate rezulta un pericol. O


amenințare poate fi înțeleasă ca un potențial atac, accident sau eroare.
Potențială amenințare - Amenințare emergentă, bazată mai mult pe ipoteze teoretice
decât pe evenimente și incidente cibernetice reale.
Risc - Posibilitatea unui eveniment sau a unei condiții care poate avea un impact
asupra asigurării informațiilor, obiectivelor sau activităților.
Evaluarea riscului - Procesul de analiză a riscului, pe care amenințările și
vulnerabilitățile potențiale le ridică unui sistem informatic sau unui proces de
afaceri (atât probabilitatea, cât și impactul potențial).
Incident de securitate - Evenimentul care apare în momentul în care există o
amenințare și o vulnerabilitate în același timp, iar măsurile de protecție fie nu
sunt implementate, fie nu reușesc să respingă un atac cibernetic specific.
Vulnerabilitate - Un punct slab (slăbiciune) care permite situații sau evenimente
potențial periculoase, prin faptul că un atacator poate să compromită informațiile
dintr-un sistem.

Înainte de a trece la rezumatul acestei lecții, răspundeți la următoarele întrebări


(este valabilă o singură variantă de răspuns):

Pentru care dintre obiectivele de securitate este importantă „criptarea”?


Integritate.
Confidențialitate.
Disponibilitate.

Această lecție permite cunoașterea elementară a amenințărilor pe care le prezintă


diferite tipuri de programe malware. După finalizarea ei, veți putea să:

definiți programele malware;


dați exemple ale principalelor tipuri, caracteristici și scopuri ale programelor
malware;
descrieți cele mai comune tehnici de răspândire/vectori de infectare cu programe
malware;
recunoașteți semnele posibile de activități rău intenționate pe dispozitivul
personal și să luați contramăsuri.
Veți avea nevoie de 15-20 minute pentru a parcurge această lecție.
„Malware” este un termen general folosit pentru a face referire la o varietate de
forme de software ostil sau intruziv.

Agresiunile malware pot avea loc în condiții foarte diferite și, de aceea,
comunitatea de securitate a încercat să clasifice diverse tipuri de malware în
categorii precum troieni, bombe logice, viruși, viermi, backdoors etc. Cu toate
acestea, astăzi, majoritatea tipurilor de malware conțin funcționalități modulare
sofisticate care pot fi controlate și actualizate de la distanță. În acest fel, un
software rău intenționat poate fi reconfigurat dinamic pentru a servi un scop
diferit. Cu foarte puține excepții, multe din aplicațiile malaware sunt capabile să
se răspândească automat prin folosirea de exploit-uri împotriva vulnerabilităților
software sau prin autocopierea pe medii amovibile. Programele malware sunt
invizibile pentru măsurile obișnuite de apărare și au funcționalități de spam prin
e-mail sau de atac DDoS - blocarea distribuită a serviciului.

Există mai multe motive posibile pentru dezvoltarea malware-ului. Cel mai relevant
și cel mai important este astăzi câștigul financiar, în special prin crearea de
botnets în scopul:

creării de mesaje tip spam;


atacului DDoS;
șantajului prin e-mail (amenințare cu DDoS);
furtului de informații și furtului de identitate (de exemplu, furtul cărții de
credit sau a informațiilor bancare).

În cele ce urmează, sunt descrise alte caracteristici specifice softurilor rău


intenționate. Pentru mai multe detalii vizualizați videoclipul și faceți click pe
imaginile alăturate.

Un exemplu interesant de atac malware este capturarea pentru răscumpărare a datelor


utilizatorului, prin criptarea și ștergerea fișierelor originale. Atacatorul
solicită bani pentru a oferi datele decriptate sau a le înapoia pe cele sustrase.

Cele mai comune tehnici de răspândire a programelor malware sunt următoarele:

Distribuirea automată folosind vulnerabilitățile software (devine din ce în ce mai


puțin relevantă).
Come and get it („Vino și ia-l”) - Utilizatorii sunt atrași să instaleze software
fraudulos prin simularea instalării unui software util sau legitim. Aceasta este
ofertată ca „ofertă gratuită” răspândită pe site-uri sau prin e-mail.
Fișiere infectate - Malware care se inserează în unul sau mai multe fișiere și
efectuează anumite acțiuni. Este răspândit de utilizatori care îl transmit la
prieteni sau prin medii amovibile.
Exploatarea caracteristicii Autorun pentru mediile amovibile - Se referă la
infectarea prin instrucțiuni care sunt rulate automat la introducerea în computer
de stick-uri USB, suporturi de disc și alte dispozitive de stocare în masă.
Descărcări de tip Drive-by - Infectare cu un software malițios prin exploatarea
automată a erorilor din browserele web, de obicei realizate prin servere web
compromise, rețele de publicitate, cross-site scripting (XSS).

Pentru a percepe corect importanța diferitelor tipuri de atacuri și tendințele


actuale, este bine să cunoașteți date și statistici referitoare la programele
malware.

Faceți click pe filele de mai jos pentru a citi mai multe despre cele trei
tipologii majore de atacatori.

Cele mai semnificative amenințări operaționale


1. Îngreunarea conectivității Internet datorită atacurilor DDoS. 39%
2. Pierderea accidentală a datelor. 33%
3. Dezactivarea sau compromiterea serviciilor gazdă din rețele corporative. 32%
4. Accident major de întrerupere a serviciului. 26%
5. Congestionarea conectivității Internet din cauza creșterii reale a traficului.
26%
6. Amenințarea persistentă avansată în rețeaua corporativă.18%
7. Expunerea datelor sensibile, dar nereglementate. 18%
8. Niciuna dintre cele de mai sus. 17%
9. Defăimare web. 15%
10. Expunerea datelor reglementate. 13%
11. Furt. 13%
12. Instalarea de software răuvoitor. 12%
13. Spionajul industrial sau exfiltrarea datelor. 9%
14. Altele. 9%

O clasă importantă de malware, care a devenit recent mai proeminentă, este malware-
ul mobil. Toate tehnicile de infectare și capabilitățile malware-ului specifice PC-
ului clasic apar treptat pe dispozitivele mobile, precum smartphone-urile și
tabletele. Această tendință a continuat să crească.

Dispozitivele mobile sunt utilizate pe scară largă pentru a accesa World Wide Web.
Munca prin intermediul dispozitivelor mobile este rapid adoptată. Însă, avantajele
mobilității nu merită acceptate dacă măsurile corecte de securitate nu sunt în
vigoare. Potrivit experților în securitate, de la companiile Kaspersky Labs și
McAcafee, malware-ul mobil este un fenomen extrem de răspândit pe tot globul.
Numărul total de programe malware pe telefonul mobil, a depășit 6 milioane în 2014.
Programele malware sunt folosite pentru crearea de botnets, atacuri direcționate și
spionaj, specifice pentru dispozitivele mobile.

Rata de infecție pentru malware-ul mobil variază în timp cu cel puțin 8%, pentru
toate sistemele care raportează o infecție.

Descoperit pentru prima dată în noiembrie 2008, malware-ul Conficker (cunoscut și


sub numele de Downup, Downandup și Kido) a infectat mai multe milioane de
calculatoare în ultimii ani. Malware-ul exploatează o vulnerabilitate privind
conectarea la distanță la un serviciu intern al sistemului Windows. Chiar dacă un
patch pentru vulnerabilitatea respectivă a fost lansat de Microsoft în octombrie
2008, un procent estimat de 30% din PC-urile Windows încă au rămas nerezolvate în
ianuarie 2009. În aprilie 2010 existau încă peste șase milioane de dispozitive
infectate. Malware-ul poate fi actualizat, iar variantele noi rezolvă de obicei
bug-uri și încearcă să se sustragă rețelelor specifice de cercetare sau programelor
antivirus.

Stuxnet este un vierme de calculator descoperit în iunie 2010, despre care se crede
că a fost produs pentru a ataca instalațiile nucleare ale Iranului. Stuxnet se
răspândește prin sistemele de operare Microsoft Windows și vizează software-ul și
echipamentele industriale Siemens. Deși nu este pentru prima dată când hackerii au
vizat sisteme industriale, este primul malware descoperit care spionează și
sabotează un anumit sistem industrial și, de asemenea, primul care include un
programator de controler logic (PLC) rootkit.

Pentru a afla mai multe despre Stuxnet, vizualizați videoclipul care urmează.

Duqu este un vierme de calculator descoperit pe 1 septembrie 2011, considerat a fi


legat de Stuxnet. Laboratorul de Criptografie și Securitate a Sistemului (CrySyS
Lab) de la Universitatea de Tehnologie și Economie din Budapesta a descoperit
amenințarea și a analizat acest malware. Duqu a primit numele său din prefixul „~
DQ” pe care îl dă numele fișierelor pe care le creează. A fost folosit într-o serie
de atacuri de tip „intelligence-gathering” împotriva unei game de ținte
industriale.

Duqu 2.0 este o evoluție a viermelui Duqu. Noua versiune a lui Duqu este foarte
greu de descoperit și se află exclusiv în memoria computerului, fără fișiere scrise
pe disc. Are aceeași structură ca și primul dar conține, de asemenea, mai multe
module care oferă o gamă largă de funcționalități, cum ar fi colectarea de
informații, furtul de date, descoperirea rețelei, infectarea rețelei și comunicarea
cu serverele de comandă și control (C & C).

S-au găsit dovezi că Duqu 2.0 a fost utilizat într-o serie de atacuri împotriva
unui număr mic de ținte selectate. Printre organizațiile vizate au fost un operator
european de telecomunicații, un operator de telecomunicații din Africa de Nord și
un producător de echipamente electronice din Asia de Sud-Est. Prezența sa a fost
semnalată și pe computerele situate în SUA, Marea Britanie, Suedia, India și Hong
Kong.

Atacurile de tip ransomware (cereri de răscumpărare) s-au dublat în 2014, crescând


la peste 8,8 milioane, față de 4,1 milioane în 2013. Mai îngrijorătoare este
creșterea numărului de atacuri ransomware de criptare a fișierelor, care a crescut
de la 8.274 în 2013, la 373.342 în 2014.

Există mai multe familii diferite de cripto-ransomware cum ar fi Cryptolocker,


Cryptodefense și Cryptowall însă metoda lor de exploatare este aceeași. Crypto-
ransomware criptează fișierele personale și deține cheile private pentru
decriptarea lor pentru răscumpărare, într-un site aflat la distanță. Metodele de
infectare variază dar, cel mai frecvent, atacul este implementat printr-un element
rău intenționat atașat unui e-mail care se pretinde a fi un document, o factură sau
o imagine.

Pentru a vă proteja calculatorul împotriva programelor malware, a virușilor și a


programelor spion, urmați recomandările de mai jos.

Utilizați un mix adecvat de produse de securitate, așa cum vom specifica în


lecțiile ulterioare despre soluțiile antivirus și securitatea PC-urilor clasice.
Acordați atenție fișierelor atașate, conținutului descărcabil și suporturilor
amovibile (acest lucru este discutat detaliat în alte lecții).

Înainte de a trece la rezumatul acestei lecții, răspundeți la următoarele întrebări


(este valabilă o singură variantă de răspuns):

De ce chiar și o parolă foarte puternică nu este folositoare, dacă sistemul


dumneavoastră este infectat cu programe malware?
Malware-ul poate înregistra toate imputurile de la tastatură și reține
toate parolele, indiferent cât de puternice ar putea fi acestea.
Parolele puternice sunt sigure și programele malware nu schimbă acest
lucru.

Această lecție oferă o scurtă trecere în revistă a instrumentelor


antivirus. După finalizarea ei, veți putea descrie:

eficiența și limitările programelor antivirus;


modul de acţiune și metodologiile de detectare folosite de programele antivirus;
importanța actualizărilor de software și de securitate (patch-uri, actualizări
antivirus);
diferite tipuri de interconectare a browserelor web cu programele antivirus.
Veți avea nevoie de 10-15 minute pentru a parcurge această lecție.

Una dintre metodele de protecție împotriva programelor malware este folosirea


produselor antivirus. Ele se dovedesc utile pentru a proteja sistemele de virușii
cunoscuți, dar nu sunt capabile să detecteze toate programele malware. Programele
antivirus pot fi inutile faţă de programele malware personalizate, lansate doar
împotriva unui număr extrem de restrâns de ținte.

Software-ul antivirus funcționează în principal prin scanarea sistemului pentru


modelele de malware cunoscute, stocate în așa-numitele baze de date cu semnături de
viruși. Aceste baze de date sunt actualizate în permanență prin intermediul
mecanismelor de actualizare ale furnizorului. Această metodă nu se poate ocupa de
virușii care nu sunt încă detectați de vânzător. De aceea, produsele avansate
urmăresc, de asemenea, anumite modele de acțiune și aplică metoda euristică asupra
comportamentului unui soft, pentru a decide dacă este rău intenționat sau nu. Din
nefericire, această metodă este predispusă la a da rezultate fals pozitive.

Cuvântul „euristic” se referă la tehnici bazate pe experiență, pentru identificarea


activităților rău intenționate. În cazul în care căutarea exhaustivă este
impracticabilă, metodele euristice sunt folosite pentru a accelera procesul de
găsire a unei soluții satisfăcătoare.

În ultimii ani, programele antivirus au început să capete un rol tot mai important.
Prin integrarea tehnologiei firewall personale, a soluțiilor de detecție a
intruziunilor (IDS) și a protecției software-urilor de la terțe părți, cum ar fi
browserele sau clienții de e-mail, majoritatea furnizorilor de programe antivirus
oferă astăzi soluții complete de securitate. De fapt, majoritatea companiilor de
programe antivirus își diversifică portofoliul pentru a include metode de „ștergere
și răspuns”, spre deosebire de mecanismele tradiționale de „protecție” antivirus.

Nu există metode de a recunoaște din timp toate programele malware sau de a te


proteja împotriva tuturor tehnicilor de atac. Cea mai bună alternativă este ca,
prin instalarea unor măsuri defensive și prin actualizarea periodică a sistemului
de operare, să crească nivelul de dificultate la care o resursă devine accesibilă
pentru atacator.

Utilizarea de produse antivirus, actualizarea regulată a sistemelor de operare și a


aplicațiilor, un grad înalt de conștientizare a utilizatorilor pot face ca
majoritatea infecțiilor malware să nu aibă loc.

Produsele companiilor antivirus funcționează prin combinarea a diferite tehnici de


detectare. Cele mai importante concepte sunt prezentate mai jos:

Detectarea anomaliilor

Tehnica de detecție urmărește un model sau tip de comportament al unui sistem.


Evaluarea statistică a activităților din rutina zilnică.
Detectarea deviațiilor de la comportamentul obișnuit.
Comportamentul neobișnuit este clasificat ca fiind dăunător.
Utilizarea incorectă (bazată pe semnătură)

Compară acțiunile și stările, cu secvențe cunoscute de acțiuni și stări, în timp ce


sunt atacate.
Poate detecta numai tipuri de amenințări cunoscute.
Depistarea bazată pe specificații

Clasifică stările și acțiunile care încalcă specificațiile ca fiind dăunătoare.


Această tehnică nu joacă un rol important astăzi.
Lista albă
Unii furnizori generează și mențin o listă de semnături ale aplicațiilor „cunoscute
bune” și le compară cu cele găsite pe sisteme.

Consultați videoclipul și faceți click pe imaginile de mai jos pentru a afla cât de
importantă este actualizarea permanentă a sistemelor și aplicațiilor.

Cea mai bună opțiune pentru sistemele folosite la domiciliu este să nu se utilizeze
copii piratate ale sistemelor de operare comerciale, precum Windows. Versiunile
legale originale se vor actualiza în mod automat.

Multe dintre actualele pachete de programe antivirus conţin plug-in-uri sau o bară
de instrumente pentru browser, cu scopul de a face navigarea web sigură pentru
utilizatorii finali. Acestea identifică paginile web ca fiind dăunătoare sau bune,
prin utilizarea unor „liste albe”, „liste negre” și analize euristice.

Analizele euristice cuprind indicatori ca:

țara înregistrării domeniului;


durata înregistrării unui site;
popularitate;
evaluări ale comunității/evaluări ale utilizatorilor.
Cele mai multe din actualele browsere web au integrate aceste metode. Faceți click
pe prima filă pentru a vedea câteva exemple despre acest aspect în diferite
browsere.

Există plugin-uri suplimentare care pot ridica gradul de detectare pentru anumite
site-uri sau pot adăuga alte liste albe/negre. Faceți click pe a doua filă pentru a
citi mai multe informații.

Pentru a vă proteja corect computerul cu un software antivirus, urmați


recomandările de mai jos.

Alegeți un pachet de securitate complet, care să corespundă cerințelor de


performanță și nivelului de securitate necesar.
Utilizați un browser actualizat cu protecție integrată sau un software antivirus cu
protecție web.

Înainte de a trece la rezumatul acestei lecții, vă rugăm să răspundeți la


următoarele întrebări:

Este posibil să infectați computerul cu un virus dintr-un e-mail dacă nu deschideți


niciunul din fișierelea atașate?
Da, dacă software-ul de sistem nu este actualizat corespunzător.
Nu, singura modalitate de a prelua un virus din e-mail este să deschid
un fișier atașat infectat.

Această lecție oferă o scurtă trecere în revistă a amenințărilor legate de parole.


După finalizarea ei, veți putea să:

exemplificați diferitele tipuri de acreditări de acces și să enumerați punctele


tari și slabe ale utilizării numelor de utilizator și a parolelor;
descrieți diferite tipuri de atacuri care privesc datele de conectare;
alegeți parole puternice pentru conturile proprii și să le gestionați în mod
corespunzător.
Veți avea nevoie de 15 minute pentru a parcurge această lecție.

În mod curent, sistemele informatice sunt asigurate de o formă de acreditare de


acces:
combinația de nume de utilizator și parolă - cea mai folosită formă de protecție;
cardurile de securitate (RSA - un algoritm pentru criptografia cu chei publice,
care se bazează pe presupusa dificultate de factorizare a numerelor mari, problema
factorizării);
cardurile inteligente și identificarea prin radiofrecvență (RFID);
metodele de criptare asimetrică.
Diferența constă între ceva ce cunoaște utilizatorul (parola) și ceva ce deține
utilizatorul (token, amprentă digitală). Din ce în ce mai mult, companiile devin
conștiente de securitatea oferită de autentificarea cu doi factori (multifactor),
în care un utilizator trebuie să introducă atât un nume de utilizator și o parolă,
cât și un simbol generat, ceva ce știe și ceva ce are.

Autentificarea multifactorială (MFA) este un sistem de securitate în care se


utilizează mai mult de o formă de autentificare pentru a verifica legitimitatea
unei tranzacții. Scopul MFA este de a crea o apărare stratificată și de a face mai
dificil pentru o persoană neautorizată, să acceseze un sistem informatic sau o
rețea.

Autentificarea multifactorială se realizează prin combinarea a două sau trei


acreditări independente: ceea ce cunoaște utilizatorul (autentificarea bazată pe
cunoaștere); ce deține utilizatorul (token de securitate sau card inteligent); ce
este utilizatorul (verificare biometrică).

Prin contrast, factorul unic de autentificare (SFA) face apel doar la un singur
credențial, de regulă, care cunoaște utilizatorul. Deși autentificarea bazată pe
parolă este potrivită în unele cazuri, nu este suficient de sigură pentru servicii
critice, cum ar fi tranzacțiile financiare online.

Numele de utilizator și parolele


Studiați tabelul de mai jos pentru a vedea punctele tari și punctele slabe ale
utilizării numelor de utilizator și a parolelor.

Pentru

Dintre toate acreditările de acces, numele de utilizator și parolele sunt cele mai
ușor de implementat și sunt foarte convenabile pentru utilizator, deoarece acesta
se poate conecta la un sistem de oriunde. Nu este nevoie să transporte un
dispozitiv USB sau alt suport detașabil.

Contra

Parolele slabe permit atacatorilor să obțină cu ușurință acces neautorizat la


aceste sisteme. Pe de altă parte, cartelele de memorie și cheile hardware USB pot
conține materiale criptografice pentru autentificare, care nu pot fi
ghicite/forțate de un atacator.

Cele mai frecvente două atacuri asupra numelor de utilizator și a parolelor sunt
atacurile tip dicționar și atacurile prin forță brută. Dați click pe filele de mai
jos pentru a citi mai multe despre fiecare tip.

Atacatorul generează o listă de nume de utilizator potențiale (sau cunoscute) și


pentru fiecare dintre ele încearcă o listă de parole comune sau cuvinte și nume
generale în limba locală țintă.

„Dicționarul” poate conține mii sau chiar milioane de cuvinte dar, deoarece
încercările automate de autentificare pot fi efectuate foarte repede, atacatorul
poate trece printr-o listă mare într-o perioadă scurtă de timp.

Aici atacatorul încearcă fiecare combinație posibilă dintr-un anumit alfabet de


caractere și o anumită lungime a parolei. De exemplu, ar putea încerca toate
combinațiile de litere și cifre (A-Z și 0-9) atât pentru lungimea parolei de 6
caractere, cât și pentru lungimea de 7 caractere. Aceasta înseamnă că trebuie să
încerce aproximativ 80 de miliarde de combinații. În funcție de scenariu (online
sau offline) și puterea sistemului pe care îl folosește, aceasta ar putea fi o
opțiune viabilă pentru atacator.

Importanța parolelor puternice provine de la natura celor două tipuri de atac


menționate anterior. Parolele mai puternice sunt mai greu de ghicit cu atacul tip
dicționar și forță brută.

O parolă puternică mărește numărul parolelor candidate care trebuie verificate, în


medie, pentru a recupera parola și reduce probabilitatea că parola va fi găsită în
orice dicționar.

De asemenea, cunoașterea faptului că un utilizator folosește numai litere mici în


parole reduce foarte mult posibilele caractere din fiecare poziție. Din acest
motiv, parolele trebuie să conțină atât litere mici, cât și majuscule, precum și
numere. Utilizarea de caractere speciale (de exemplu, @, & etc.) este de asemenea
recomandată.

Cum se alege o parolă puternică? Aruncați o privire pe videoclip.

O problemă mare în autentificarea cu parolă este că utilizatorii tind să


reutilizeze parole pe site-uri și servicii diferite. Acest lucru înseamnă că, prin
compromiterea unui serviciu sau site, se ajunge adesea la mai multe posibilități de
fraudă sau de furt de date, deoarece atacatorul poate intra în alte sisteme, pe
care nu le-a vizat inițial. Acest lucru este și mai grav dacă site-urile stochează
parolele utilizatorilor în text clar. Majoritatea sistemelor stochează parole într-
o formă criptată, astfel încât chiar și o scurgere a bazei de date necesită foarte
multă muncă pentru a recupera parolele utilizatorilor.

Este foarte important ca utilizatorii să aleagă parole diferite pentru diferite


servicii, astfel încât impactul compromiterii să fie limitat.

Cu cât aveți mai multe conturi de utilizator, cu atât este mai greu să vă amintiți
toate parolele diferite. Vedeți în continuare cum ar putea fi rezolvată această
dilemă.

Utilizatorii se întreabă adesea care sunt avantajele în a-și schimba periodic


parolele. De ce trebuie să le schimbe?

În primul rând, schimbarea parolelor limitează periodic fereastra de


vulnerabilitate dacă cineva fură, sparge sau obține în alt mod o parolă. Să nu
uităm că este nevoie de timp pentru a sparge o parolă și, dacă vom continua să le
schimbăm înainte ca atacatorul să poată termina spargerea, atunci nu va putea să
folosească o parolă obținută ilicit pentru a accesa sistemul.

O parolă puternică este un instrument important în lupta împotriva acestei


amenințări și, deși este incomod, schimbarea parolei contribuie frecvent la
protecția calculatoarelor și a rețelei noastre.

Dezavantajul schimbării parolelor este că le face mai greu de ținut minte. Dacă
utilizatorii sunt obligați să-și schimbe parolele în mod regulat, este mult mai
probabil să aleagă parole „ușor de reținut” (și, de aceea, „ușor de ghicit”), decât
dacă aceștia ar folosi aceleași parole mai mulți ani. Deci, orice politică în
schimbarea parolei trebuie aleasă în funcție de aceste considerații.

Majoritatea site-urilor publice, cum ar fi furnizorii de servicii de e-mail și


rețelele de socializare, oferă instrumente pentru recuperarea parolelor pierdute.
În cele mai multe cazuri, acest lucru se face prin „întrebări de securitate”, la
care se presupune că numai titularul de cont poate răspunde. Această abordare este
foarte discutată, iar studiile recente au constatat că aceste întrebări „secrete”
nu sunt fiabile, chiar reprezintă o amenințare la adresa securității și nu ar
trebui folosite pentru a recupera parolele.

Întrebările secrete utilizate de primele patru servicii de poștă electronică nu


sunt autentificatori suficient de fiabili. Chiar și pentru serviciul webmail cu cel
mai memorabil set de întrebări (Yahoo!), participanții au uitat, în medie, 16% din
răspunsuri, în termen de 6 luni.

Iată o revizuire a tacticii pe care trebuie să o folosiți atunci când alegeți o


parolă.

Nu utilizați parole care se bazează pe informații personale, care pot fi ușor


accesate sau ghicite.
Nu utilizați cuvinte care pot fi găsite în orice dicționar al oricărei limbi.
Dezvoltați un mnemonic pentru amintirea parolelor complexe.
Utilizați litere mici și mari.
Utilizați o combinație de litere, numere și caractere speciale.
Utilizați fraze de acces, când puteți.
Utilizați parole diferite pe diferite sisteme.

Iată o revizuire a tacticii pe care trebuie să o folosiți atunci când alegeți o


parolă.

Nu utilizați parole care se bazează pe informații personale, care pot fi ușor


accesate sau ghicite.
Nu utilizați cuvinte care pot fi găsite în orice dicționar al oricărei limbi.
Dezvoltați un mnemonic pentru amintirea parolelor complexe.
Utilizați litere mici și mari.
Utilizați o combinație de litere, numere și caractere speciale.
Utilizați fraze de acces, când puteți.
Utilizați parole diferite pe diferite sisteme.

Înainte de a trece la rezumatul acestei lecții, vă rugăm să răspundeți la


următoarele întrebări:

Securitatea calculatorului a fost discutată, parțial, în lecția privind soluțiile


antivirus.

Această lecție, compusă din trei părți, descrie securitatea calculatorului prin
prisma următoarelor aspecte:

Sisteme de detectare a intruziunilor (IDS).


Firewall-uri.
Actualizări de software.
Scopul acestei lecții este de a vă ajuta să luați măsurile de securitate necesare
pentru calculator, în mediile de acasă și de la locul de muncă. După finalizarea
ei, veți putea:

defini sistemele de detectare a intruziunilor și descrie modul în care acestea


reacționează la intruziuni;
descrie principalele scopuri, funcționalități și limitări ale firewall-urilor,
precum și diferitele modalități de definire a politicii lor implicite;
descrie modul în care actualizările de software sunt legate de securitatea
calculatorului.
Veți avea nevoie de 10 minute pentru a parcurge această lecție.

Sistemele de detectare a intruziunilor (IDS) sunt „alarmele de efracție” ale


securității calculatorului. Scopul lor este de a detecta intruziunile și a alarma
utilizatorul pentru a iniția un răspuns.

Există două tipuri de sisteme de detectare a intruziunilor:

IDS-uri bazate pe rețea - utilizate în mod obișnuit de rețelele corporative, în


punctele de intrare și ieșire din rețea;
IDS-uri bazate pe sistemul gazdă - instalate pe o stație de lucru, care
monitorizează numai traficul orientat spre sau provenind de la stația de lucru
respectivă.

Un IDS ar trebui să detecteze în rețele semnele de atac și activități rău


intenționate, iar în unele cazuri ar putea iniția și acțiuni de răspuns.

Aceste intruziuni pot veni din:

interior, de exemplu: utilizarea nelegitimă a privilegiilor contului de root sau a


accesului neautorizat;
exterior, de exemplu: malware sau atacuri de tip DDoS.
IDS-ul ar trebui să acționeze pentru a preveni atacurile prin generarea de alarme
și/sau blocarea activă a unei tentative de atac.

Sistemele de detectare a atacurilor trebuie să prezinte notificările într-un format


ușor de înțeles pentru a nu aglomera inutil utilizatorii și administratorii.

Un alt aspect important este cât de multe alerte false generează un sistem. Putem
vorbi despre:

Alerte fals pozitive: atacul a fost raportat dar nu a avut loc.


Alerte fals negative: atacul în curs nu a fost detectat.
Ambele tipuri de evenimente ar trebui reduse la un nivel minim, în cazul unor
sisteme de detecție a intruziunilor eficiente.

Firewall-urile reprezintă o metodă eficientă de limitare a traficului de intrare și


ieșire în rețea, apărând sistemul de multe atacuri dacă sunt configurate corect.

Mai mult, și acest lucru este de interes deosebit pentru mediile corporative,
firewall-urile restricționează, de asemenea, traficul de ieșire și, ca atare,
reprezintă un mijloc de protecție împotriva culegerii de date.

Un firewall controlează accesul între o rețea internă și o rețea externă și permite


sau respinge pachetele în conformitate cu o politică de securitate.

Firewall-urile simple filtrează pachetele de rețea bazate pe adrese și porturi.


Firewall-urile avansate pot de multe ori să facă diferența între diferite servicii
și să permită o gestionare prioritară a aplicațiilor critice, cum ar fi comunicarea
vocală.

Firewall-urile avansate conțin un subset de funcționalități de detectare a


atacurilor și, ca atare, este posibil ca acestea să inspecteze conținutul
pachetelor și să filtreze, spre exemplu, traficul care conține informații agresive.

O problemă cu utilizarea firewall-ului este decizia privind politica implicită.

Trebuie ca softul să accepte implicit pachetele și utilizatorii sistemului să scrie


regulile de blocare?
Trebuie ca softul să respingă implicit pachetele și tot traficul legitim să fie
descris în mod adecvat pentru a trece prin firewall?
În general, se recomandă „să definiți ce este acceptat și respins în mod implicit”.

Care este politica specifică implicită în cazul unui produs antivirus care include
capabilități firewall? Faceți click pe filă pentru a citi mai multe.

Dacă un produs antivirus include capabilități firewall, atunci vânzătorul livrează


în mod obișnuit câteva reguli implicite și oferă o modalitate de a schimba
interactiv comportamentul, solicitând utilizatorului ce să facă cu o conexiune sau
un pachet.

În funcție de modul în care este implementat acest lucru, notificările pot deveni
enervante, iar unii utilizatori au tendința de a opri complet firewall-ul, ceea ce
nu este deloc recomandat.

Limitările de bază ale firewall-urilor sunt descrise mai jos.

Firewall-urile interferează cu aplicațiile în rețea și, în funcție de caz, pot


deveni foarte enervante.
Este posibil ca acestea să nu rezolve unele probleme importante, cum ar fi
software-ul care a fost compromis de tip buggy (care exploatează supraîncărcarea
buffer) sau protocoale de comunicații deficiente (de exemplu WEP).
În general, firewall-ul nu împiedică atacurile de refuz al serviciilor sau
atacurile interne.
Unele produse au o complexitate sporită și există pericolul pentru o configurare
greșită.

În general, cel mai important factor în securitatea calculatorului este utilizarea


versiunilor software actualizate. Acestea includ sistemul de operare, programul
antivirus, produsele Microsoft Office, precum și jocurile și aplicațiile media.

Principalele companii software și aplicațiile cele mai populare includ mecanisme de


actualizare automată. Aceasta include, de exemplu, Java Runtime Environment.

Pentru software-ul fără această caracteristică, este important să verificați


periodic furnizorul cu privire la posibilele actualizări și patch-uri. De multe
ori, vânzătorii notifică clienților noile versiuni, dacă au la dispoziție
informații de contact.

Pentru a garanta securitatea calculatorului, urmați recomandările de mai jos.

În funcție de nivelul de securitate necesar, utilizați un produs antivirus care


include capabilități de detecție a intruziunilor.
Utilizați funcționalitatea firewall a sistemului de operare sau a produsului
antivirus într-un mod neintensiv, de exemplu permiteți toate conexiunile de ieșire,
dar permiteți doar anumite intrări. Acest lucru este valabil pentru utilizatorii
casnici, dar în mediile corporative este necesar să fie implementate politici mai
stricte.
Pentru utilizatorii casnici, routerele includ de obicei un firewall și oferă deja o
anumită protecție împotriva atacurilor. Produsele firewall suplimentare nu sunt
necesare în majoritatea cazurilor, deoarece sistemele de operare recente sunt, de
asemenea, livrate cu capabilități interne de firewall.
Pe lângă soluțiile menționate, cele mai importante și mai eficiente aspecte sunt
actualizările sistemelor și software-ului. Trebuie utilizată o bună combinație de
produse de securitate, setări sigure și actualizări automate.

Această lecție oferă o scurtă trecere în revistă a problematicii furtului de


identitate. După finalizarea ei, veți putea să:

definiți ce este furtul de identitate;


dați exemple de daune pe care le poate provoca;
enumerați și descrieți diferite metode folosite pentru furtul identității;
descrieți problema atribuirii în relație cu furtul de identitate;
vă protejați datele de furtul de identitate.
Veți avea nevoie de 5-7 minute pentru a parcurge această lecție.

Furtul de identitate oferă atacatorilor cibernetici capacitatea de a accesa date,


utilizând informații legitime despre acreditările utilizatorilor, obținute prin
fraudă (adică nu există identitate falsă).

În funcție de cât de multe detalii sunt disponibile, toate conturile existente sunt
în pericol de a fi furate.

Eventualele acțiuni care utilizează identități furate includ:

închirierea de apartamente;
comanda de bunuri care vor fi livrate și preluate;
retragerea banilor din conturi;
crearea de conturi noi (de exemplu, telefon).
Uneori prejudiciul realizat este limitat, dar poate duce la pierderea a sute sau
mii de dolari înainte ca problema să fie rezolvată.

Pe termen lung, acest lucru ar putea duce la rezultate nedorite afectând, de


exemplu, bonitatea creditului.

Atacantul caută în documentele care se aruncă informații personale, acreditări de


cont, adrese etc.

Bancomatele bancare și dispozitivele electronice de plată sunt modificate de către


atacator cu un dispozitiv special care stochează datele de intrare, de exemplu
numărul cardului de credit/debit și coduri PIN, pentru preluarea ulterioară.

Printre exemple se numără furtul de portofele și poșete sau trimiteri poștale


(incluzând situații financiare) cu oferte de credit aprobate în avans, cecuri noi
sau informații fiscale.

Alte ținte interesante sunt datele personale ale personalului, obținute de la


angajatori, prin mituirea personalului autorizat sau furt.

Compromiterea sistemului prin intermediul software-ului rău intenționat poate duce,


de asemenea, la furtul de identitate. Mulți troieni/boți/viermi includ rutine
pentru extragerea datelor contului, numerele cărților de credit, adresele de e-mail
și alte informații personale de la sistemele infectate. Datele sunt apoi transmise
serverului central de comandă și control și astfel pot fi folosite mai târziu de
atacator.

Aspectele furtului de identitate conduc, de asemenea, la problema atribuirii în


ceea ce privește atacurile cibernetice. Chiar dacă investigațiile efectuate în
cadrul unei companii sau de către autoritățile de aplicare a legii indică o anumită
persoană, este posibil ca identitatea sa să fie utilizată în mod abuziv de către un
atacator.
De exemplu, Binyamin Schwartz a fost arestat în Statele Unite pentru că a furat mai
mult de 100.000 de numere de securitate socială și apoi a vândut aceste numere
altor persoane pentru a le folosi pentru furtul de identitate. Acest tip de afacere
poate fi foarte profitabil și a devenit popular în forumurile online.

Problema de atribuire este și mai gravă, datorită caracteristicilor furtului de


date ale software-ului malware modern. Ca urmare, proprietarul calculatorului nu
trebuie să fie responsabil pentru atacurile efectuate de mașina infectată. Chiar și
cu mecanisme de protecție, sistemul ar putea deveni infectat și acest lucru se
întâmplă tot timpul, nu numai pentru utilizatorii finali, ci și pentru
profesioniștii cu pregătire în probleme de securitate.

Pentru a vă proteja împotriva furtului de identitate și a nu compromite datele


clasificate, urmați recomandările de mai jos.

Nu subestimați posibilitățile de fraudă, posibile ca urmare a furtului de


identitate.
În general, aveți grijă cu privire la datele pe care le stocați pe dispozitivele
dumneavoastră și implementați măsurile de securitate corespunzătoare nivelului de
confidențialitate necesar.
Curățați dispozitivele și fișierele în mod corespunzător, așa cum este explicat mai
detaliat într-o lecție ulterioară.

Înainte de a trece la rezumatul acestei lecții, vă rugăm să răspundeți la


următoarele întrebări:

Laptopul dumneavoastră este furat. Confidențialitatea datelor dumneavoastră este în


pericol?
Da, hoțul poate accesa toate datele mele.
Nu, hoțul se poate conecta numai dacă are parola.
Depinde de sistemul de operare, cu Linux sunt protejat.

Unele probleme majore de securitate legate de comunicarea prin e-mail


sunt acoperite de lecțiile despre phishing și infecțiile malware.

Această lecție oferă o imagine de ansamblu asupra diferitelor tipuri de pericole


legate de e-mailuri și face trimitere la moduri de sporire a confidențialității,
integrității și autenticității comunicării prin e-mail. După această lecție veți
putea evita astfel de pericole.

Veți avea nevoie de 8-10 minute pentru a parcurge această lecție.

Protecția e-mailului este un subiect important, deoarece este încă cea mai
importantă metodă de comunicare, în special în mediile corporative.

Au existat diverse tipuri de atacuri împotriva aplicațiilor de poștă electronică și


în trecut, însă cele mai distructive dintre acestea au apărut recent. Din acest
motiv, este important să cunoaștem potențialele tipuri de atacuri care sunt adesea
efectuate prin e-mail.

Este important ca personalul să nu deschidă fișiere executabile sau chiar documente


care ar putea fi infectate. Trebuie stabilită legitimitatea expeditorilor, iar
utilizatorii ar trebui să fie conștienți de tehnicile de phishing și inginerie
socială.

În plus, comunicarea prin poștă electronică poate fi o sursă de scurgere de


informații atunci când conturile sunt piratate sau comunicările sunt interceptate
(interceptarea mesajelor).

Cel mai răspândit tip de atac asupra e-mailurilor este ingineria socială. Atacurile
vizează mai mult aspectul uman decât o vulnerabilitate tehnică.

Linkurile în e-mailuri pot atrage utilizatorul către site-uri Web care conțin mai
multe metode de atac sau mai multă inginerie socială, cum ar fi furtul de
identitate sau al parolelor. Aceste mesaje apar de obicei ca provenind de la o
companie legitimă sau de la furnizorul de servicii de poștă și solicită
utilizatorului să efectueze anumite acțiuni sau să furnizeze informații. Cele mai
populare două exemple sunt furtul de informații bancare online și infectarea
computerului utilizatorului cu o secvența de cod malware.

Criminalii vizează anumite instituții financiare și speră că e-mailurile ajung la


un număr mare de clienți ai acestor bănci, astfel încât cel puțin unii utilizatori
să devină victime ale atacului și să-și dea datele de acreditare sau informații
privind tranzacțiile.

În 2014, aproximativ 300 de companii petroliere și energetice au fost vizate de un


atac cibernetic coordonat. Hackerii folosiseră ingineria socială pentru a trimite
angajaților de top ai companiilor e-mailuri persuasive, care le-au cerut să
descarce un fișier atașat. Când angajații au descărcat fișierul, au declanșat
malware-ul distrugător care a căutat vulnerabilități în sistemul de securitate al
companiei, pentru a instala un logger de tip keystroke, care ulterior a fost
folosit pentru a înregistra parolele companiei și a fura proprietatea intelectuală.

E-mailurile care încearcă să infecteze utilizatorii cu programe malware fie poartă


elemente atașate care arată ca un video amuzant, un joc gratuit ori ceva similar,
fie conțin un link către un site care găzduiește codul rău intenționat. Site-ul web
poate încerca apoi să descarce automat codul în sistemul utilizatorului sau să-i
ceară să-l descarce el însuși.

Aceste tipuri de atac sunt discutate mai detaliat în lecția privind ingineria
socială și se aplică platformelor de mesagerie instantanee și site-urilor de rețele
sociale în același mod în care se aplică și în cazul e-mailului.

Pentru a spori securitatea comunicării prin e-mail, se aplică în mod obișnuit două
abordări:

protecția end-to-end a e-mailurilor între expeditor și receptor - oferind


confidențialitate și autenticitate;
protecția hop-by-hop a e-mailurilor prin versiuni securizate ale protocoalelor de
comunicație.
Prima abordare este importantă pentru a putea stabili autenticitatea expeditorilor
și pentru a vă asigura că nu este deturnată comunicarea, în drumul său către
destinatar. Securitatea e-mailului prin abordarea end-to-end poate fi realizată
prin tehnologii precum PGP (Pretty Good Privacy) și S/MIME (Secure/Multipurpose
Internet Mail Extensions). Aceste standarde definesc modalități de criptare și
semnare a comunicării digitale prin e-mail și specifică ce algoritmi pot fi
utilizați pentru a realiza acest lucru.

A doua abordare este la fel de importantă pentru că garantează un nivel bun de


siguranță, chiar dacă nu se aplică același nivel de protecție ca în cazul abordării
end-to-end. Furnizorii de servicii de poștă electronică și software-ul utilizat
trebuie să completeze protocoalele securizate, care includ criptarea transferurilor
și autentificarea securizată a conturilor de utilizator.

Majoritatea furnizorilor de e-mail utilizați în prezent, folosesc ambele căi de a


proteja comunicarea. Această politică poate fi adăugată de utilizator sau
implementată ca obligatorie de către organizații. Dacă este utilizată corect,
utilizatorii pot verifica dacă e-mailurile au expeditori legitimi și asigură
comunicarea confidențială între parteneri.

Pentru a evita problemele de securitate legate de e-mailuri, urmați recomandările


de mai jos.

Asigurați-vă că serverele și clienții de e-mail folosesc protocoale securizate care


includ metode moderne de autentificare și criptare.
Utilizați soluții de protecție end-to-end, cum ar fi PGP, pentru a asigura
autentificarea expeditorului și receptorului și confidențialitatea conținutului de
comunicare.
Conștientizați potențialele pericole cauzate de elementele atașate e-mailului și de
tehnicile de inginerie socială.

Această lecție oferă o scurtă trecere în revistă a amenințărilor legate de


utilizarea rețelelor wireless. După finalizarea ei, veți putea:

descrie principalele amenințări ale rețelelor wireless nesecurizate (inclusiv cele


legate de hotspot-uri și de rețelele wireless gratuite);
cataloga principalele tehnologii de securitate pentru protecția rețelei
dumneavoastră fără fir;
elimina sau reduce cât mai mult acest tip de pericol.
Veți avea nevoie de 8-10 minute pentru a parcurge această lecție.

Rețelele wireless au devenit o tehnologie obișnuită, dar utilizarea lor introduce


noi amenințări la adresa securității, deoarece acestea au câteva aspecte cheie
diferite de rețelele prin cablu.

Rețelele fără fir nu au o protecție fizică inerentă. Conexiunile fizice sunt


înlocuite de asociațiile logice. Trimiterea și primirea mesajelor nu necesită acces
fizic la infrastructura de rețea (cabluri, hub-uri, routere etc.).

Rețelele wireless utilizează, de obicei, transmisii radio care se difuzează în


mediul înconjurător. În comunicarea prin transmisii radio, acestea pot fi ascultate
de oricine din raza de acțiune. Acest lucru înseamnă, de asemenea, că utilizând
hardware-ul și software-ul adecvat, oricine poate genera, întrerupe sau recepționa
transmisii.

Consecințele pentru securitate ar fi că este ușor să se intercepteze mesajele și să


se introducă mesaje false sau să se răspundă cu mesaje înregistrate false. Acest
lucru este foarte diferit de rețelele prin cablu de astăzi, unde un atacator ar
trebui să schimbe fizic topologia rețelei sau să devină activ într-o anumită formă,
pentru a devia traficul.

Este ușor de blocat recepționarea corectă a traficului cu un echipament adecvat, de


exemplu prin bruiere. În rețelele fără fir, accesul ilegal la rețele/servicii ar
putea fi, de asemenea, mai facil, în funcție de măsurile de securitate existente.

Atunci când utilizați Wi-Fi nesecurizat, este important să nu accesați informații


sau servicii confidențiale, deoarece oricine ar putea să vă urmărească traficul pe
Internet.

În cazul hotspoturilor și a conexiunilor wireless gratuite, este indicat să nu vă


conectați la niciun serviciu cu acreditări de utilizator (în special servicii
critice, cum ar fi online banking), deoarece acestea ar putea fi interceptate sau
sesiunile ar putea fi deturnate.
Recent, în Asia, o firmă de securitate a descoperit programe malware inserate în
conexiunile Wi-Fi neasigurate ale diferitelor hoteluri, care vizau directorii
generali ai unor companii importante. Malware-ul a fost folosit pentru a fura
informații critice pe care directorii companiei le accesau prin conexiunile
neasigurate.

O metodă foarte bună de protecție în aceste situații este utilizarea rețelelor VPNs
(rețele private virtuale).

Acest tip de rețele extind o rețea privată în rețele publice, cum ar fi Internetul.
Rețeaua VPN permite unui computer gazdă să trimită și să primească date în rețele
publice sau partajate, ca și cum ar fi o parte integrantă a rețelei private, cu
toate politicile de funcționalitate, securitate și gestionare ale rețelei private.
Acest lucru se realizează prin stabilirea unei conexiuni virtuale punct-la-punct,
prin utilizarea conexiunilor dedicate, criptare sau o combinație a celor două.

Totuși, trebuie amintit că acestea nu sunt ușor de configurat și, prin urmare, nu
sunt disponibile în mod obișnuit pentru utilizatorii finali. Ele ar putea fi
furnizate angajaților de către organizațiile lor.

Mai jos veți găsi o listă a principalelor tehnologii de securitate, utilizate


astăzi pentru rețelele fără fir:

Utilizatorii rezidențiali
WEP (Wired Equivalent Privacy), WPA-PSK (Passkey/Pre-shared key) și WPS (Wi-Fi
Protected Setup) sunt nesigure! WPA2-PSK sau alte metode centralizate de
autentificare sunt recomandate.
Universități
Soluții centrale care sprijină roaming-ul.
Accesul angajaților la rețeaua WLAN a companiei
Metode EAP, soluții licențiate.
Furnizori HotSpot
Se bazează în principal pe portaluri web captive simple, care necesită nume de
utilizator și parolă.
Soluții de rețea privată virtuală (VPN)
Comunicație securizată cu criptare într-o rețea publică, pentru a împiedica
divulgarea de informații private unor părți neautorizate.
În mod obișnuit, companiile și universitățile oferă un nivel bun de securitate prin
utilizarea protocolului WPA2 cu autentificarea utilizatorilor. În rețelele de
domiciliu și în mediile hotspot există adesea protecție foarte scăzută datorită
protocoalelor de securitate nesigure.

Cu mecanismele de protecție pre-shared-key PSK (cheie partajată), nu este posibilă


revocarea accesului utilizatorilor unici și, prin urmare, parola/cheia trebuie
modificată pentru a elimina un client din rețea.

Pentru a evita pericolele rețelelor wireless nesigure, urmați recomandările de mai


jos.

În mediile de acasă, asigurați-vă că utilizați cel mai nou protocol de securitate


disponibil în router-ele și dispozitivele finale, cum ar fi WPA2-PSK. Porniți și
utilizați serviciul de filtrare a adreselor IP și MAC pe router-ul dumneavoastră,
dacă este acceptat.
Dacă utilizați autentificarea cu cheie partajată, asigurați-vă că modificați
periodic parola pentru a vă proteja împotriva spargerii acesteia.
Nu vă conectați la niciun serviciu cu acreditări de utilizator, când utilizați
hotspoturi sau conexiuni wireless gratuite.
Această lecție evaluează principalele riscuri, vulnerabilități și amenințări legate
de dispozitive mobile (MD), descrie problemele de gestionare a riscurilor și oferă
recomandări generice de securitate și măsuri de atenuare în situații de criză.
Lecția se axează în primul rând pe aspectele de securitate legate de nivelul de
conducere și operațional al organizațiilor militare și civile și se bazează pe
informații din surse deschise.

După finalizarea acestei lecții, veți putea să:

explicați riscurile și cele mai frecvente vulnerabilități legate de dispozitivele


mobile;
definiți și explicați amenințările legate de dispozitivele mobile;
explicați posibilele contramăsuri împotriva acestor pericole.
Veți avea nevoie de 20-25 minute pentru a parcurge această lecție.

Popularitatea smartphone-urilor este în mod evident în plină expansiune iar, pentru


milioane de oameni, un smartphone sau un telefon mobil cu capabilități avansate a
devenit un instrument de neînlocuit. În al patrulea trimestru al anului 2011,
vânzările de smartphone-uri au depășit pentru prima dată computerele personale (PC)
- 488 milioane de smartphone-uri au fost vândute în 2011, comparativ cu 415
milioane de PC-uri.

Opțiunile aduse de dispozitivele mobile pot fi în mod clar benefice. Smartphone-


urile și asistenții digitali personali (PDA) oferă utilizatorilor acces mobil la e-
mail, internet, navigație GPS și multe alte aplicații. Telefoanele inteligente sunt
folosite și în structurile militare, ajutând la modernizarea sistemelor de
comunicații.

Pe de altă parte, un smartphone poate prezenta o amenințare în mâinile unui hacker.


Cercetătorii au susținut că tehnologiile lor ar putea fi folosite împotriva
sistemelor care se bazează pe semnalele wireless, pentru a controla elemente cum ar
fi semafoarele, camerele de securitate și poate chiar și rețelele electrice.

Odată cu creșterea numărului și a capacităților avansate ale smartphone-urilor,


acestea devin din ce în ce mai atractive ca ținte pentru atacurile cibernetice.
Potrivit unor studii recente, mai mult de o treime din profesioniștii din domeniul
securității informațiilor consideră că mobile computing (interacțiunea om-
calculator care permite transmiterea de voce, video și date - se compune din
comunicații mobile, hardware mobil și software mobil) reprezintă cea mai mare
amenințare la adresa securității organizațiilor, pentru viitorul apropiat. Rețelele
sociale și cloud computing constituie următoarele zone de interes din punct de
vedere al securității.

Aceste vulnerabilități sunt tot mai periculoase datorită popularității din ce în ce


mai mari a aranjamentelor „Adu propriul dispozitiv” (BYOD).

Pe parcursul acestui modul, vom folosi următoarea definiție:

Dispozitiv mobil (MD) - un dispozitiv mic, portabil, care are în mod obișnuit
funcționalități de telefonie mobilă (3G/4G/CDMA) și capabilități care permit
transmiterea de voce, video și date, pe care rulează o serie de aplicații și care
dispune de un sistem de operare (OS), precum și opțiuni de Wi-Fi și Bluetooth. MD-
urile includ smartphone-uri personale sau corporative, asistenți digitali
personali, notebook-uri miniaturale și tablete.
Rețineți că distincția utilizare personală/pentru corporație se estompează atunci
când un dispozitiv personal este folosit oficial la locul de muncă, în cadrul unei
abordări BYOD.

În ultimii ani, dispozitivul mobil standard de comunicare personală (adică


telefonul mobil) a devenit în realitate un smartphone care este în esență un
computer personal mobil (PC). Dispozitivul este din punct de vedere tehnologic
chiar mai dezvoltat decât un PC și are și mai multe posibilități tehnice decât PC-
ul mediu.

Principala diferență în ceea ce privește securitatea la locul de muncă este că


protecția unui PC la locul de muncă este adesea o luptă între atacator și expertul
în securitate IT, în timp ce protecția unui dispozitiv mobil este adesea o luptă
între doi adversari destul de inegali, atacatorul și utilizatorul final.

Protecția dispozitivelor mobile (inclusiv BYOD) necesită aceleași măsuri de


securitate ca și pentru un PC de birou - antivirus, firewall local, actualizări și
patch-uri, configurare de securizare și configurare de bază.

Un singur risc permite existența mai multor vulnerabilități și, invers, o


vulnerabilitate unică poate fi motivul pentru mai multe riscuri diferite. Trebuie
să distingem între o amenințare la adresa unui MD și o amenințare care derivă din
utilizarea unui MD, în special a unui dispozitiv compromis, ca instrument de atac
împotriva unui alt sistem informatic. În acest din urmă caz, riscul poate fi
considerabil mai mare decât doar deteriorarea unui singur dispozitiv mobil.
Probabilitatea unui atac prin folosirea unui MD este, de asemenea, relativ
ridicată, datorită numărului mare de dispozitive (care crește rapid).

Diverse surse de informații enumeră mai multe riscuri diferite legate de MD, dar
cele mai periculoase sunt legate de securitatea fizică, sistemele de operare și
aplicațiile integrate. Dați click pe filele de mai jos pentru a citi mai multe
despre riscurile majore.

Riscuri legate de securitatea fizica

Breșele de securitate, în special pierderea sau furtul unui telefon mobil,


reprezintă unul dintre cele mai întâlnite riscuri. Pierderea sau lăsarea
nesupravegheată a unui telefon mobil poate avea ca efect compromiterea de date
sensibile sau introducerea unor secvențe de cod rău intenționat.

În concordanță cu testele făcute de ingineri IT și de cei care se ocupă cu


securitatea IT, în Statele Unite, cel mai des întâlnit tip de probleme de
securitate rezultă din pierderea telefoanelor mobile. Acest risc ridică o problemă
reală la nivel organizațional pentru că aceste dispozitive pot conține informații
sensibile sau confidențiale.

Riscurile legate de sistemele de operare

La acest moment cele mai cunoscute tipuri de sisteme de operare sunt după cota de
piață: Android, Apple iOS, Symbian, Rim BlackBerry, Bada și Windows Phone. Fiecare
sistem de operare are puncte tari și slabe, iar cei care le produc realizează mereu
actualizări care conțin îmbunătățiri vizând vulnerabilitățile și previn unele din
riscurile de securitate.

La fel ca și în cazul calculatoarelor clasice, menținerea unui sistem de operare cu


cele mai recente actualizări de securitate, este o măsură importantă prin care
securizați dispozitivul. Trebuie să țineți cont că decodarea sau intervențiile
neautorizate asupra sistemului de operare (așa numitul „jailbreaking” asupra unui
sistem mobil), în special prin ocolirea restricțiilor de securitate impuse de
producător în ceea ce privește limitarea atribuțiilor contului root, o practică
foarte comună în ceea ce privește sistemul Apple iOS, poate expune dispozitivul
mobil la vulnerabilități suplimentare și, de asemenea, în cele mai multe cazuri
limitează accesul producătorului la actualizarea sistemului de securitate al
aparatului.

Riscurile legate de aplicații

Numărul de aplicații disponibile crește de la zi la zi, în special pentru


platformele deschise și sistemele de operare fără restricții, gen Android. Cei care
folosesc și descarcă aplicații din surse neverificate pot descărca aplicații
compromise care conțin cod rău intenționat, de exemplu programele antivirus false.
Site-urile neoficiale ale terților care furnizează surse alternative pentru
aplicații sunt deosebit de periculoase.

Principala problemă legată de magazinele de aplicații online este că acestea nu


sunt controlate și sunt magazine care nu verifică materialele puse la dispoziție,
sau au existat cazuri în care acestea au fost preluate de infractori. Aceștia au
furnizat aplicații care conțin cod rău intenționat sau copii ilegale ale
aplicațiilor legitime, modificate pentru a permite frauda. Deseori atacatorii
exploatează vulnerabilitățile de securitate ale aplicațiilor legitime, ceea ce le
transformă pe acestea în aplicații rău intenționate. Unele aplicații rău
intenționate au posibilitatea de a lua controlul asupra e-mailului, mesajelor SMS,
locației GPS sau comunicațiilor de voce.

Vulnerabilități legate de dispozitivele mobile


Vulnerabilitățile dispozitivelor mobile cresc în fiecare an. Numărul total de
programe malware mobile a depășit 6 milioane în 2014. Programele malware sunt
folosite pentru crearea de botnets mobili, atacuri țintite și spionaj mobil. La
acest moment utilizatorii de platforme Android sunt considerați cei mai vulnerabili
la amenințările adresate către dispozitivele mobile.

Primul pas într-un proces de gestionare a riscurilor este de a ști ce tipuri de


vulnerabilități sunt prezente în MD. Dacă o vulnerabilitate este descoperită de un
atacator potențial, există capacitatea de a ataca și dezvolta instrumente de atac,
acest lucru putând crea o amenințare cibernetică.

Vulnerabilitățile sunt mai frecvente în:

sisteme de operare și aplicații;


rețele fără fir;
infrastructura de sprijin hardware/software.
În timpul procesului de evaluare a riscurilor, trebuie luate în considerare și
următoarele tipuri de vulnerabilități:

vulnerabilitățile derivate de la utilizatorii dispozitivelor mobile (de exemplu: MD


este pierdut sau vulnerabilitățile provenite din exploatarea informațiilor obținute
din urmărirea activității pe site-urile de socializare);
vulnerabilitățile care derivă din organizații (de exemplu: când o organizație nu
posedă o politică adecvată de utilizare a MD sau nu există acorduri juridice cu
angajații în ceea ce privește utilizarea MD etc.);
vulnerabilități legate de rețele (LAN, Internet, GSM/CDMA).
Multitudinea de vulnerabilități, precum și posibila recompensare financiară a
exploatării lor, fac MD foarte atractive pentru hackeri.

Tipurile de amenințări existente pentru dispozitive mobile sunt variate. Faceți


click pe filele de mai jos pentru a citi mai multe despre tipurile majore de
amenințări.

Marea majoritate a exemplelor de malware cunoscute constau în spyware, care


colectează și transmit o varietate de date, fără știința utilizatorului, și troieni
SMS, care transmit în mod clandestin mesaje SMS, de multe ori la numere speciale cu
suprataxă.

Riscuri posibile: MD-urile infectate pot efectua acțiuni nedorite, necunoscute


utilizatorului, inclusiv colectarea și transmiterea de informații sensibile de la o
rețea locală securizată sau o rețea locală Wi-Fi prin 3G/4G la un hacker sau un
atacator.

Amenințări în conexiunile fără fir (conexiuni GSM sau CDMA, Wi-Fi sau Bluetooth)

Hotspoturile publice Wi-Fi reprezintă o pradă ușoară pentru a fi exploatate de


către hackeri. Odată cu adoptarea crescândă a dispozitivelor Wi-Fi, numărul de
hotspoturi Wi-Fi la nivel global este de așteptat să crească la peste 5,8 milioane.
Cu ajutorul instrumentelor de „sniffing” (adulmecare) disponibile, găsirea
utilizatorilor într-o rețea Wi-Fi, deturnarea acreditărilor utilizatorilor și
folosirea acelor acreditări pentru a juca rolul unui utilizator online, este acum
doar o problemă de a face click pe o pictogramă. Atacatorii pot fura repede
parolele, expunând utilizatorul la consecințe financiare și, în multe cazuri, la
furtul de identitate.

Riscuri posibile: conexiunile wireless, în special rețelele Wi-Fi gratuite sau


nesecurizate, reprezintă canale prin care hackerii pot să colecteze, să fure și să
exploateze informații. Acest tip de atac introduce, de asemenea, posibilitatea de a
activa căi ulterioare de hacking, cum ar fi acordarea drepturilor de administrare
pentru atacatori.

Omul în mijlocul atacului (Man-in-the-middle attacks - MITM)

Punctele false de conectare la rețelele furnizorilor de servicii de comunicații


(CSP) sunt o tactică populară. Rețelele Wi-Fi sunt, de asemenea, susceptibile la
atacurile de tip MITM.

Atunci când execută un atac MITM, hackerii se inserează în fluxul de comunicare


între un dispozitiv mobil și o rețea Wi-Fi nesecurizată, înregistrând informațiile
transmise între entități. Având în vedere că multe dispozitive mobile trimit mesaje
în text clar, aceste atacuri pot oferi atacatorului acces la o gamă largă de
informații sensibile pentru utilizatori și corporații și pot permite monitorizarea
conversațiilor prin telefon.

Ca și în cazul hacking-ului Wi-Fi, instrumentele de atac MITM sunt disponibile pe


scară largă online, iar metodologiile sunt bine documentate.

Riscuri posibile: compromiterea datelor sensibile sau furtul de identitate sunt


utilizate pe scară largă pentru a efectua transferuri false de bani în tranzacțiile
bancare și pentru a genera posibile consecințe financiare.

Atacuri directe

Constau în atacarea unui sistem sau a unui utilizator, acțiuni de exploatare a


sistemelor, componentelor sau interfețelor dispozitivelor mobile. Metodele comune
de atac direct includ:

trimiterea de pachete de date sau conținut rău intenționat la interfețele


dispozitivelor;
trimiterea prin intermediul SMS, MMS sau e-mail a mesajelor rău intenționate;
atacarea aplicațiilor interfeței dispozitivului, cu conținut sau pachete care
conțin cod rău intenționat;
atacuri de tip phishing prin e-mail, apeluri vocale (așa-numitul „vishing”) sau
mesaje SMS/MMS („smishing”);
atacarea vulnerabilităților sau a capabilităților nesecurizate din browser-ul
dispozitivului, caz în care browser-ul dispozitivului mobil este utilizat pentru a
activa exploit-ul.

Alte tipuri de amenințări sau posibilități de infectare a dispozitivelor mobile

Utilizarea cititorului QR (quick response barcodes) - codul scanat poate direcționa


browser-ul dispozitivului mobil către un website rău intenționat.

Amenințări prin intermediul dispozitivelor USB sau altor dispozitive tip removable
media (memorii USB, SSD, CD, DVD).

Atac prin intermediul caracteristicii „Drive by” a browser-ului, prin care


vizitarea unui website infectat conduce automat la descărcarea unui program rău
intenționat.

Atacuri prin intermediul rețelelor sociale (Twitter, Facebook, vulnerabilități de


tipul utilizării unor conturi false).

Transferul/stocarea fișierelor video sau a fotografiilor infectate.

Amenințări prin intermediul rețelelor internet nesecurizate, e-mailurilor,


chatului, programe rău intenționate/linkuri/încărcarea sau descărcarea unor
fișiere.

Deschiderea microfonului sau a camerei dispozitivului mobil fără știrea


utilizatorului, în timp ce telefonul este inactiv, și transmiterea de informații,
realizarea unor apeluri nedorite sau trimiterea SMS-urilor/MMS-urilor nedorite.

Urmărirea locației utilizatorului prin intermediul sistemului GPS al telefonului.

În cazul în care pe lângă vulnerabilitățile legate de securitatea cibernetică


există și alte tipuri de vulnerabilități, probabilitatea ca un sistem mobil să fie
compromis și folosit pentru alte activități ilicite devine foarte mare. În acest
sens, vorbim despre potențiale amenințări cibernetice provenite de la dispozitivele
mobile.

Deoarece MD-urile pot fi utilizate la fel ca un PC desktop, amenințările la adresa


rețelei la care sunt conectate sunt aceleași ca și cele de pe desktop. Cu toate
acestea, analiza și evaluarea amenințărilor cibernetice de la MD prezintă cazuri
interesante și, la acest moment, o plajă puțin cercetată în comparație cu
amenințările cibernetice la adresa dispozitivului mobil.

Faceți click pe filele de mai jos pentru a citi mai multe despre tipurile majore de
amenințări.
Detaliile depind de instrumentele de hacking disponibile pentru MD.

De exemplu, setul de instrumente Android Network Toolkit, destinat testelor de


securitate ale vulnerabilităților, dar care se aplică pe scară mai largă, oferă un
instrument de scanare Wi-Fi pentru găsirea de rețele deschise și afișarea tuturor
dispozitivelor potențial țintă în aceste rețele, precum și aplicații de urmărire a
rutelor care pot dezvălui adresele IP de servere la distanță. Atunci când se
identifică o țintă, aplicația oferă un meniu simplu, cu comenzi precum „Man-In-The-
Middle”, pentru a asculta dispozitivele locale sau chiar pentru a ataca. Aplicația
este concepută pentru a rula exploit-uri cunoscute, utilizând vulnerabilități în
MD-uri care nu au fost actualizate sau patch-uri către obiective de compromis.

Riscuri posibile: o varietate de activități rău intenționate în Intranetul


corporației și în rețelele publice de Internet.

BYOD și utilizarea incorectă a dispozitivelor mobile

Este din ce în ce mai dificil pentru companii să evite aranjamentele BYOD datorită
avantajului economic pe care îl poate oferi companiei și confortul pe care îl oferă
angajaților. Acest lucru va duce la o creștere rapidă a punctelor de acces wireless
LAN (WLAN), cu necesitatea de a asigura securizarea acestui acces.

Mulți oameni sunt neglijenți în ceea ce privește stocarea și manipularea


informațiilor sensibile pe propriul MD și această atitudine poate duce la scurgerea
de informații. Această amenințare este dificil de combătut, deoarece se referă la
dispozitivele personale și este agravată de comportamentul persoanelor care nu iau
în serios riscurile legate de securitatea smartphone-urilor. Riscul privind
confidențialitatea este, de asemenea, crescut datorită probabilității mari de
pierdere a unui dispozitiv personal sau ca acesta să fie accesibil altor persoane.

Riscuri posibile: punctele de acces necontrolate de la BYOD-MD pot fi instrumente


și motive pentru breșe de securitate în rețelele LAN.

Amenințări generate de punctele de acces necontrolate

MD-urile pot crea și exploata punctele de acces la nivel de aplicație în rețelele


locale care sunt greu de controlat. Neadministrate, aceste puncte de acces pot duce
la compromiterea datelor.

Filtrarea conținutului de date care sunt folosite prin intermediul dispozitivelor


mobile poate reduce considerabil amenințarea. Controlul accesului prin verificarea
faptului că utilizatorul și dispozitivul se potrivesc și utilizarea unei liste albe
a utilizatorilor autorizați ar trebui să fie obligatorie dacă dispozitivele mobile
trebuie să aibă acces la o rețea locală.

Riscuri posibile: puncte suplimentare de atac la LAN-uri.

Amenințări din rețelele sociale

Telefoanele inteligente sunt destinate în primul rând comunicării între oameni și


sunt extrem de ușor de utilizat în rețelele sociale, dar pot crea o amenințare
considerabilă dacă au acces la o rețea locală.

Numeroase aplicații de pe dispozitive mobile sunt folosite pentru a lega


comunitățile virtuale în scopul de a comunica informații sau materiale media. În
unele cazuri, aceste rețele sociale sunt native pentru MD, adesea concentrându-se
asupra informațiilor bazate pe locație. Utilizatorul unui dispozitiv mobil care are
acces la o rețea locală, poate fi ademenit pentru a divulga date din rețeaua locală
prin rețele sociale, chiar dacă nu există niciun program malware instalat pe
dispozitiv.

Riscuri posibile: ingineria socială, dezvăluirea necorespunzătoare a datelor despre


locație, posibilitățile de a încărca sau descărca linkuri sau fișiere rău
intenționate și divulgarea de informații sensibile.

Amenințări atunci când dispozitivele mobile sunt utilizate în botneturi

Botneții devin din ce în ce mai mici, iar dimensiunea cea mai uzitată a botnet-ului
de astăzi este de aproximativ 10.000 de unități, fiind posibil ca mai mulți botneți
să fie implicați într-un atac. MD-urile devin dispozitivele perfecte pentru
găzduirea de boți.

Riscuri posibile: utilizarea dispozitivului mobil pentru a participa în


necunoștință de cauză la atacurile distribuite de tip Denial-of-Service,
transmiterea de mesaje spam, infectarea altor dispozitive, dificultate în
atribuirea atacurilor sau alte pericole specifice acestui tip de amenințare.

Amenințări persistente avansate (APT)

Luând în calcul existența anumitor vulnerabilități de bază, un malware sau un


program infectat (insider) ar putea extrage date dintr-o rețea care nu este
conectată la Internet, utilizând un dispozitiv mobil.

Dacă o conexiune Wi-Fi, Bluetooth sau prin cablu a acelei rețele a fost activată în
mod conștient sau în necunoștință de cauză, dispozitivul mobil se poate conecta la
rețea, poate colecta date și le poate stoca pentru descărcare ulterioară sau pentru
transmisie ulterioară prin GSM/CDMA.

Pentru majoritatea companiilor care se confruntă cu amenințări persistente


avansate, realizarea unei analize operaționale (care să includă starea
dispozitivelor endpoint, informațiile și posibilitatea de a interacționa în timp
real cu sistemele endpoint), împreună cu capacitatea de a furniza un sistem adecvat
de detectare și răspuns, devine o problemă fundamentală.

Risc posibil: extragerea datelor din rețele securizate care nu sunt conectate la
Internet.

Dați click pe filele de mai jos pentru a citi mai multe despre categoriile
relevante.

Etape organizatorice recomandate pentru obținerea și menținerea controlului asupra


dispozitivelor mobile în mediul de lucru

Luați decizii strategice - să utilizați sau să nu utilizați dispozitivele mobile


personale în mediul de lucru corporativ.
Introduceți și susțineți aplicarea politicilor privind modul în care MD-urile vor
fi utilizate și securizate.
Decideți ce dispozitive mobile (hardware, sistem de operare) și aplicații se
aliniază cel mai bine nevoilor organizaționale și apoi standardizați din punct de
vedere hardware și software.
Definiți ce aplicații personale sunt permise în organizație, creați politici pentru
folosirea social media la locul de muncă.
Analizați modul în care informațiile corporative și personale sensibile și alte
informații reglementate vor fi prelucrate și modul cum trebuie asigurate.
Impuneți notificarea imediată dacă un MD care conține informații sensibile sau
confidențiale este pierdut sau furat.
Creșteți gradul de conștientizare în rândul personalului, cu privire la
activitățile de protecție a datelor din MD, prin educație și instruire.
Asigurați o finanțare suficientă pentru protecția și securitatea datelor
corporative și a datelor personale din dispozitivele mobile.

Securizarea conexiunilor la rețelele corporative

Implementarea controlului accesului la rețea și a drepturilor de acces adecvate,


bazate pe identitatea utilizatorului și securitatea dispozitivului, adică
gestionarea identității și a drepturilor de acces.
Criptarea comunicării datelor sensibile și confidențiale ale instituției (protecția
datelor în tranzit) și utilizarea clientului SSL VPN pentru conexiunea la distanță.

Pentru managementul dispozitivelor mobile

Controlul asupra aplicațiilor instalate și a instalării de noi aplicații.


Stabilirea unei politici de utilizare a codurilor PIN și a parolelor, precum și
definirea și aplicarea atributelor parolei dispozitivului, cum ar fi puterea
parolei și necesitatea de a o schimba la intervale stabilite.
Analiza și auditarea utilizării dispozitivelor mobile.
Implementarea unor niveluri suplimentare de apărare care depășesc sistemele de
protecție perimetrale tradiționale, cum ar fi firewall-urile de rețea și sistemele
de prevenire a intruziunilor împotriva instrumentelor avansate de împachetare
(APT).
Criptarea fișierelor și datelor stocate în MD, pentru a evita accesul neautorizat
la informații, dacă dispozitivul este pierdut sau furat.

Obiective educaționale
Această lecție oferă o scurtă trecere în revistă a modului de creare a copiilor de
siguranță ale sistemelor și fișierelor.

După această lecție, veți putea răspunde la următoarele întrebări:

De ce este important să creați copii de siguranță ale datelor?


Cu ce instrumente poate utilizatorul să creeze copiile de siguranță ale datelor?
De ce ar trebui să fie criptate copiile de siguranță?
Veți avea nevoie de 5 minute pentru a parcurge această lecție.

Importanța creării copiilor de siguranță ale sistemelor și fișierelor


Crearea copiilor de siguranță ale sistemelor și fișierelor de date ale
utilizatorilor este un aspect important al securității calculatorului. Nu numai că
backup-urile regulate împiedică pierderea de date datorită defecțiunilor discului
sau infectării acestuia, ci ajută și în cazurile în care cineva devine victimă a
unui software de răscumpărare, așa cum este descris în capitolul despre malware.

În cazul unei infectări malware, în majoritatea cazurilor este necesară o


reinstalare completă a sistemului. Un bun mecanism de backup și de actualizare a
copiilor de siguranță garantează rezolvarea rapidă a problemelor, deoarece astfel
sunt disponibile versiunile curate ale tuturor fișierelor.

În mod normal, în cazul sistemelor aflate în rețelele NATO, copia de siguranță și


reinstalarea fișierelor nu este o responsabilitate a utilizatorului. Aceste sarcini
sunt gestionate, din fundal, de către experți.

Cu toate acestea, crearea copiilor de siguranță și restaurarea fișierelor ar putea


fi esențială și pentru utilizatorii obișnuiți, în special pentru sistemele de
acasă, unde se pot stoca date sensibile sau personale. În aceste cazuri,
utilizatorii trebuie să gestioneze întregul proces, în mod regulat, pentru a evita
pierderea datelor.

În zilele noastre, malware-ul se ascunde nu numai în interiorul software-ului, ci


și în interiorul fișierelor obișnuite (de exemplu, documente de tip word cu
macrocomenzi). Ca dezavantaj, restaurarea fișierelor dintr-un backup poate duce la
o reinfectare. Acesta este motivul pentru care reamintim importanța verificării
fiecărui fișier pe care îl includem în backup-urile noastre.

Există mai multe posibilități de a efectua backup-uri, cum ar fi unități externe,


computere de rezervă, servicii de backup și casete DVD/magnetice.

În prezent, cele mai populare sisteme de operare oferă instrumente de backup


integrate, dar utilizatorii pot găsi cu ușurință pe piață multe alte soluții simple
sau sofisticate, pentru realizarea copiilor de siguranță.

Din perspectiva securității, este important să utilizați criptarea pentru datele de


backup, indiferent de locația de stocare pe care alegeți să o folosiți.

Utilizarea criptării pentru datele de backup vă ajută la prevenirea compromiterii


acestor date, dacă discurile sau casetele de backup vor fi furate sau accesate de
personal neautorizat.

Copiile de siguranță făcute către un sistem de stocare terțiar, ar trebui să nu fie


accesibile de către acesta.

Google Drive și iCloud sunt două dintre cele mai populare zone de stocare în Cloud
și amândouă au experimentat campanii de hacking semnificative, în special în ceea
ce privește furtul parolelor de cont pentru a accesa datele stocate. În 2014, o
versiune rău intenționată a paginii de conectare în Google Drive a fost utilizată
pentru a fura acreditările utilizatorilor, iar în 2015 a fost folosit un nou
instrument de hacking de parole, denumit iDict, pentru a sparge parolele iCloud.
Deoarece aceste servicii pot fi sincronizate cu diverse dispozitive, există multe
puncte de acces pe care hackerii le pot utiliza pentru a accesa datele stocate în
cloud, inclusiv dispozitivele mobile.

Urmați recomandările de mai jos privind backup-ul datelor.

Implementați regula de creare a copiilor de siguranță periodice pentru a evita


pierderea datelor. Aceasta înseamnă că trebuie planificate și efectuate backup-uri
incrementale (se salvează doar modificările de la backup-ul anterior), dar și
backup-uri complete.
Încercați să protejați întotdeauna backup-ul utilizând criptarea și/sau stocarea
fizică sigură.
Nu păstrați niciodată date confidențiale pe dispozitivele mobile (laptop-uri,
telefoane, stick-uri USB), în format text simplu (necriptat).

Această lecție prezintă riscurile malware și posibilele probleme juridice privind


partajarea de fișiere și soluțiile tehnice conexe. După finalizarea acestei lecții,
veți putea evita aceste riscuri.

Veți avea nevoie de 5 minute pentru a parcurge această lecție.

Partajarea de fișiere reprezintă motivul pentru care este folosită cea mai mare
lățime de bandă posibilă. Zeci de metode diferite sunt utilizate de comunitățile de
Internet pentru partajarea fișierelor.

Unele grupuri de partajare de fișiere utilizează în continuare buletinele


(forumurile) și grupurile Usenet. Cele mai multe site-uri mari de partajare a
fișierelor utilizează un tip de rețea peer-to-peer sau se bazează pe gazdele de tip
„un singur click”.

În așa-numitele partajări de fișiere peer-to-peer, utilizatorii se conectează


direct pentru transferul de fișiere. Acest lucru înseamnă că nu este necesară acea
lățime de bandă la serverele centrale și, de asemenea, nu este nevoie de un
director central pentru găsirea fișierelor. În cazul gazdelor de tip „un singur
click”, toate datele sunt încărcate de către furnizorii de servicii și apoi
descărcate de la adrese unice, care vor fi aduse la cunoștința utilizatorilor.

Cu gazdele de tip „un singur click”, toate datele sunt încărcate de către
furnizorii de servicii și apoi descărcate din nou de la adrese unice care pot fi
date altora.

Aspecte privind drepturile de autor


În timp ce distribuirea de fișiere, în general, nu este ilegală, partajarea și
descărcarea de materiale protejate prin drepturi de autor, cum ar fi software-ul,
muzica și filmele, fără permisiunea proprietarului drepturilor de autor, pot aduce
sancțiuni civile sau penale în majoritatea țărilor. Pentru informații mai
detaliate, consultați legislația națională.

În același timp, artiștii din domeniul muzical sau creatorii de software ar putea
hotărî să permită copierea gratuită sau utilizarea liberă a rezultatelor muncii lor
și, în acest mod, să ofere partajarea legală a fișierelor. În plus, software-ul cu
sursă deschisă este adesea disponibil prin intermediul serviciilor de partajare de
fișiere, care oferă o modalitate de distribuire a acestuia.

În situația obținerii datelor de la rețelele sau site-urile de partajare a


fișierelor, există riscul de a primi o copie infectată, cu cod rău intenționat, a
conținutului solicitat. Acest lucru se întâmplă frecvent, atât cu aplicațiile
piratate, cât și cu cele partajate în mod legal. Atacatorii reîncarcă software-ul
după ce au creat o versiune infectată a acestuia. De aceea, atunci când
utilizatorii caută aplicații în platformele de partajare a fișierelor, ar putea
găsi o versiune infectată, mai degrabă decât versiunea originală neinfectată.

Un popular software de partajare media, BitTorrent, funcționează permițând unui


număr mare de utilizatori să partajeze porțiuni dintr-un singur fișier. Aceste
porțiuni trec între utilizatori până când toate au o descărcare completă. Astfel,
este ușor pentru o singură persoană să infecteze o multitudine de calculatoare cu
un singur fișier încărcat.

Deci, este foarte important să folosiți metode de protecție cum sunt programele
antivirus, să verificați de două ori sursele de software partajat și alte fișiere,
înainte ca acestea să fie instalate sau deschise.

O problemă deosebită în ceea ce privește partajarea ilegală de fișiere o reprezintă


disponibilitatea versiunilor piratate ale sistemelor comerciale de operare, cum ar
fi Windows. Aceste copii ar putea fi pre-infectate cu software rău intenționat, dar
și mai problematică este lipsa actualizărilor automate, deoarece nu există un număr
de serie legitim asociat sistemului piratat, comparativ cu versiunile originale.

După cum s-a explicat anterior, modul cel mai eficient de protecție a sistemului și
a browser-ului web împotriva infectării este menținerea actualizată a software-
ului. Acest lucru nu este posibil în cazul copiilor piratate ale Microsoft Windows
sau Office, în majoritatea cazurilor. Folosirea versiunilor ilegale facilitează
apariția a diferitelor tipuri de atacuri și software-ului rău intenționat.

Același lucru se aplică și produselor antivirus piratate. Astfel, adăugând faptul


că partajarea și utilizarea fără permisiune a materialele protejate prin drepturi
de autor sunt ilegale, se reduce în mod semnificativ securitatea sistemului.

Pentru a evita consecințele negative generate de partajarea de fișiere, urmați


recomandările de mai jos.

Dacă este posibil, nu utilizați deloc resurse obținute prin partajarea fișierelor
dacă autorul/originea nu pot fi autentificate.
Nu utilizați niciodată copii piratate ale sistemelor de operare și ale produselor
antivirus, deoarece acestea trebuie actualizate periodic pentru a rămâne eficiente.
Când procesați fișiere obținute din rețelele de partajare a fișierelor, folosiți
software de securitate precum scanarea antivirus care elimină cele mai multe
amenințări.

Înainte de a trece la rezumatul acestei lecții, răspundeți la următoarele


întrebări:

Care este principala problemă cu descărcarea de software din rețele sau site-urile
de partajare de fișiere?
Software-ul ar putea fi infectat cu programe malware.
Este posibil ca cea mai nouă versiune să nu fie disponibilă.

Această lecție oferă o scurtă trecere în revistă a potențialelor


amenințări legate de utilizarea suporturilor amovibile. După finalizarea ei, veți
putea să:

descrieți principalele probleme asociate cu mediile amovibile;


utilizați tehnici adecvate pentru a vă apăra datele stocate pe acest tip de
dispozitiv.
Veți avea nevoie de 6-8 minute pentru a parcurge această lecție.

Angajații din majoritatea companiilor utilizează pe scară largă playere media,


stick-uri de memorie și dispozitive flash USB pentru uzul personal sau schimbul de
date cu colegii.

Problema cu mediile amovibile nu este nouă, atacuri fiind desfășurate și prin


intermediul CD-urilor/DVD-urilor, dar potențialul de amenințare la adresa
securității a fost subestimat până când stick-urile USB au câștigat în
popularitate. Deși comunitatea de securitate cunoaște acum această problematică,
utilizatorii finali, de multe ori, nu sunt la curent cu riscurile la care se expun.

Cele două probleme majore privind mediile amovibile sunt:

introducerea unui software sau a unor fișiere compromise, într-un sistem, printr-un
punct de intrare neprotejat;
furtul de date (din cauza dispozitivelor pierdute) și ex-filtrarea datelor
(transferul neautorizat de informații dintr-un sistem IT, de exemplu WikiLeaks).
Vom discuta în această lecție ambele tipuri de amenințări.

Produsele de securitate, cum ar fi sistemele de detecție a intruziunilor (IDS) și


programele antivirus, au adăugat acum funcții pentru detectarea conținutului rău
intenționat aflat pe suporturile amovibile, înainte ca acesta să poată produce
daune.

Cu toate acestea, așa cum s-a menționat deja în lecția privind programele
antivirus, produsele antivirus sunt capabile să detecteze numai ceea ce le este
cunoscut. Pentru programele malware noi sau foarte sofisticate există o mare
probabilitate de a acționa cu succes, fără a fi detectate.

Chiar și atunci când o companie își asigură sistemele de back-end prin utilizarea
firewall-urilor sau a unui software similar, sistemul poate rămâne vulnerabil dacă
amenințările reprezentate de folosirea unităților USB și alte dispozitive similare
nu sunt luate în considerare.

Acest lucru a fost demonstrat de viermele Stuxnet în 2010. Virusul a reușit să


distrugă aproape 9000 de centrifuge la instalația nucleară de la Natanz din Iran,
după ce a fost folosit un dispozitiv USB pentru a introduce viermele în sistemele
responsabile pentru controlul vitezei de rotație a centrifugelor. În acest fel s-a
reușit infectarea acestor mașini industriale, chiar dacă nu erau conectate la
internet. Din cauza dispozitivelor USB s-au produs zeci de infectări ale unor
sisteme critice.

Fișierul corupt nu trebuie să fie lansat pentru că se folosește în mod automat de


funcția „auto-run” a suporturilor amovibile. Este suficient să se introducă în
sistem fișiere sau programe rău intenționate și acestea vor aștepta ca un
utilizator legitim să le deschidă sau să le execute pentru a intra în vigoare.

Problemele discutate se aplică și telefoanelor inteligente care, în majoritatea


cazurilor, pot fi conectate la un computer și pot servi scopului de dispozitiv de
stocare. Acest lucru este și mai îngrijorător, deoarece aplicațiile rău
intenționate de pe telefon ar putea plasa, în orice moment, fișierele infectate în
memoria internă a calculatorului sau pe cardul SD.

Miniaturizarea continuă a suporturilor amovibile crește riscul pierderii


accidentale a dispozitivelor. În multe cazuri, acest lucru poate duce la probleme
enorme pentru companii de exemplu, când pe dispozitiv s-au stocat informații despre
produse sau date confidențiale.

Disponibilitatea mecanismelor de criptare și, prin urmare, a mediilor amovibile mai


sigure este încă limitată, iar inconvenientele care se asociază cu criptarea
universală sunt acceptate deseori cu greutate.

Chiar și pentru dispozitivele de uz personal, pierderea lor poate fi o problemă. Cu


siguranță nu te simți bine dacă fotografiile de familie ajung în mâinile unor
străini. Planurile de vacanță astfel obținute pot fi folosite de infractori pentru
planificarea spargerilor. Parolele și datele contului sunt, de asemenea, stocate
adesea pe unitățile flash USB, ceea ce duce din nou la furtul de identitate.

Pierderea dispozitivelor, cum ar fi telefoanele inteligente, este chiar mai


problematică decât pierderea doar a unui stick de memorie. Telefoanele conțin de
obicei informații de contact, precum și o mulțime de comunicări personale sub formă
de mesaje SMS și e-mail. De asemenea, jurnalele de apeluri telefonice sunt adesea
valoroase pentru un atacator.

Această lecție oferă o scurtă trecere în revistă a pericolului de phishing. După


finalizarea ei, veți putea să:

definiți ce este phishing-ul;


identificați caracteristicile tipice ale atacului de tip phishing;
luați măsurile adecvate dacă suspectați o activitate de phishing.
Veți avea nevoie de 15-20 minute pentru a parcurge această lecție.

Atacul clasic de tip phishing este un atac de tip semantic, în care victimelor le
sunt trimise mesaje electronice, cum ar fi mesaje prin e-mail sau mesaje
instantanee (de exemplu, Twitter), prin care sunt înșelate să ofere unui atacator
datele conturilor bancare, parolele, informațiile referitoare la card sau alte
informații personale.

În mod uzual, agresorii falsifică e-mailurile care par să provină de la un


expeditor cunoscut sau o instituție unde victima poate avea un cont. Victimele sunt
apoi direcționate spre site-uri falsificate, unde își introduc informațiile
personale.

Faceți click pe filele următoare pentru a găsi câteva explicații despre definiția
de mai sus.

Atac semantic

Un atac de tip semantic este o agresiune în care atacatorul modifică informațiile


electronice, astfel încât rezultatul să fie incorect dar să pară corect unui
utilizator obișnuit sau unuia avizat.

Originea cuvântului „phishing”

Cuvântul „phishing” are la bază analogia cu practica în care infractorii care


utilizează internetul ca mod de operare, folosesc mesajele de e-mail pentru a
pescui parole și date financiare din marea de utilizatori de pe internet (grupul
„ph” este folosit de hackeri în mod frecvent pentru a înlocui litera „f”).

Tehnicile de phishing se aplică atât în domeniul ingineriilor sociale cât și al


subterfugiilor tehnice. Domeniul ingineriei sociale este dezvoltat în detaliu într-
o lecție separată.

„Pescuit cu sulița”

O formă specială și periculoasă de phishing este „phishing-ul cu sulița” (spear


phishing). Acesta descrie atacurile de tip phishing îndreptate împotriva unui
anumit grup de utilizatori sau persoane fizice.

În acest caz, e-mailurile de phishing sunt mesaje personificate, diferite de


spamuri sau reclame. Pentru a realiza acest lucru, un atacator va folosi ceva
special în legătură cu victima vizată. Acest tip de e-mailuri intenționează să
exploateze sensibilitatea naturii umane pentru a declanșa unul din sentimentele
fericire, entuziasm, teamă etc., iar e-mailul trebuie trimis într-un moment
oportun.

Un atac de tip phishing poate fi realizat prin diverse metode. Faceți click pe
filele de mai jos pentru a citi despre câteva tipuri de scenarii phishing.

Un atacator trimite un e-mail cu un mesaj și utilizatorul este convins să facă


click pe un link.

Un exemplu tipic este e-mailul care afirmă că există o problemă cu contul bancar al
destinatarului și solicită acestuia să facă click pe un link către un site, pentru
a-și actualiza datele personale. În cele mai multe cazuri, atacatorul nu provoacă
direct daune economice, ci vinde informațiile obținute ilegal pe o piață secundară.

În imaginea de mai sus este marcat faptul că linkul indică o adresă web externă. De
asemenea, trebuie remarcat faptul că, de obicei, e-mailul nu este dintr-un domeniu
aprobat (în acest caz, paypal.com). Este mai important să căutați originea
mesajului de e-mail, decât să investigați unde conduce linkul. E-mailul ar trebui
să fie o potrivire exactă, nu doar una apropiată: paypa1.com arată aproape la fel
ca paypal.com, dar este cu siguranță o înșelătorie.
Scenariul acestui tip de atac phishing presupune folosirea unui software rău
intenționat în sistemul utilizatorului. Conținutul malware este livrat
utilizatorului ca element atașat unui e-mail sau ca un fișier descărcabil și va
exploata vulnerabilități sau va crea breșe de securitate. Această tehnică este o
amenințare pentru afacerile/întreprinderile mici și mijlocii care nu reușesc să-și
actualizeze aplicațiile software (gestionarea patch-urilor).

În acest scenariu de atac, atacatorul monitorizează activitățile victimei până când


aceasta se conectează la un cont țintă, cum ar fi un cont bancar, și își introduce
acreditările. În acel moment, software-ul malware preia controlul și poate efectua
acțiuni neautorizate, cum ar fi transferul de fonduri, fără cunoștința
utilizatorului.

Atacul de tip troian apare sub forma unei notificări atunci când utilizatorii
încearcă să se conecteze la un site important sau să efectueze o tranzacție. Acești
troieni sunt invizibili pentru utilizatori. Ei colectează acreditările
utilizatorilor la nivel local și le transmit la atacator atunci când computerul
utilizatorului este deja compromis.

Programele rău intenționate care rulează pe computerul unui utilizator pot fura
informații confidențiale stocate pe computerul respectiv. Aceste informații pot
include parole, e-mailuri sensibile și personale și orice alte date care sunt
stocate pe computerul victimei.

Furtul de date este, de asemenea, utilizat pe scară largă pentru atacurile de tip
phishing destinate spionajului corporativ. Memo-urile confidențiale, specificațiile
tehnice de produs sau informațiile financiare pot fi făcute publice, provocând
daune morale sau materiale atât organizației, cât și victimei. În plus, aceste date
pot fi vândute concurenței.

Scenariul de phishing prin modificarea numelui domeniului (Domain Name System -


DNS) sau modificarea fișierului gazdă se numește Pharming. Cererile pentru
serviciul DNS returnează o adresă falsă, iar comunicările ulterioare sunt
direcționate către un site fals, care conține fișiere gazdă sau nume de domeniu ale
companiei. În consecință, utilizatorii nu știu că de fapt comunică cu un site fals,
controlat de hackeri.

Phishing prin injectare de conținut înseamnă introducerea unui conținut rău


intenționat într-un site legitim. Conținutul rău intenționat poate redirecționa
utilizatorul către alte adrese web sau poate instala cod malware pe calculatorul
utilizatorului și, de asemenea, poate insera și instrucțiuni care vor redirecționa
datele către serverul de phishing.

Acest lucru este adesea realizat prin intermediul cross-site scripting


(vulnerabilitate web care permite utilizatorului să introducă un cod personal într-
o pagină web) sau a javascript-urilor încorporate. În acest ultim caz, utilizatorul
care face un click pe o imagine din site-ul web, va descărca în mod involuntar
conținut rău intenționat.

În prezent, ca mod de acțiune, atacatorii dezvoltă site-uri de comerț electronic cu


oferte atractive. Ulterior, aceste site-uri sunt indexate în mod legitim cu
diferite motoare de căutare. Când utilizatorii caută produse sau servicii, aceste
site-uri sunt afișate de motorul de căutare, iar utilizatorii sunt păcăliți să-și
introducă informațiile personale.

În exemplul din imagine, infractorii au creat un site bancar fals, care oferă
credite la costuri mai mici sau rate de dobândă mai bune decât alte bănci.
Victimele sunt adesea încurajate să transmită detaliile de acreditare. În acest
fel, ele sunt înșelate să își divulge datele personale.

URL-ul reprezintă prescurtarea de la Uniform Resource Locator. O adresă URL este un


șir de text formatat (protocol de rețea și numele sau adresa gazdei), utilizat de
browser-ele Web, clienți de e-mail și alte programe pentru identificarea unei
resurse din Internet. Resursele din rețea pot fi pagini web simple, alte documente
text, grafice sau programe. Exemplu: http://www.example.org (Bradley Mitchell).

Cum conving atacatorii pe utilizatori să acceseze o anumită adresă URL?

prin linkuri în e-mailuri


E-mailurile phishing clasice pretind că provin dintr-o sursă legitimă (de exemplu
banca dumneavoastră) și includ un link către un site web falsificat.
prin linkuri în mesajele instantanee
În 2006, un vierme de calculator a preluat paginile de pe MySpace. A trimis mesaje
instantanee către alte persoane din lista de contacte, mesaje care includeau
linkuri către o pagină de conectare MySpace falsificată. În acest fel, atacatorul a
obținut datele de conectare.
prin linkuri în mesaje scurte (uneori numite „SMiShing”)
prin intermediul codurilor de răspuns rapid (coduri QR)
Codurile QR devin din ce în ce mai populare. Este imposibil să identificați o
adresă URL nelegitimă atunci când urmați un QR.

Prin diferite metode, atacatorii încearcă să transforme URL-urile pe care le


folosesc în atacurile de phishing, în adrese URL credibile. Urmărind exercițiul de
mai jos veți afla cum puteți să identificați o adresă URL falsă.

Cum să identificăm un URL nelegitim? Rezumat:

Nu aveți încredere în URL-urile care nu sunt clare.


Evitați URL-urile cu redirecționări multiple.
Fiți siguri că nu sunt greșeli de ortografie în adresa URL.
Fiți atenți să nu fie un URL imitat.
Atenție la schemele alternative de cod pentru URL.
Atenție la URL-urile care conțin caracterul @.

Mai jos este un exemplu de atac phishing raportat, care îi privea pe consumatorii
Paypal.

Poate fi foarte dificil pentru un utilizator obișnuit să își dea seama dacă un
mesaj are intenții frauduloase sau nu. De exemplu, multe mesaje de e-mail false
conțin logo-uri ale companiilor reale sau ale unor mărci renumite. Oricum, există
câteva semne care pot să vă edifice în această privință. Dați click pe câmpurile de
mai jos pentru câteva exemple.

Este foarte puțin probabil ca o companie să vă ceară datele personale printr-un


mesaj privat. La astfel de cereri trebuie să fiți foarte atenți.

Pentru a-și mări numărul de răspunsuri, atacatorii încearcă să creeze în mesaj


iluzia imperativă de a se răspunde de urgență, astfel încât, unii utilizatori să
răspundă fără să gândească esența mesajului. De exemplu: „Dacă nu vă veți actualiza
datele personale, contul dumneavoastră va fi șters. Click pe linkul următor pentru
a vă confirma datele”.

Atacatorii folosesc metode foarte sofisticate pentru a crea linkuri false,


ajungându-se la situația în care o persoană obișnuită nu poate identifica dacă acea
legătură este legitimă sau nu. În situația în care nu sunteți siguri dacă un link
este rău intenționat, puteți utiliza http://www.phishtank.com/ pentru a verifica
dacă a fost raportată o încercare de phishing.

Utilizatorii rău intenționați pot trimite linkuri în interiorul e-mailurilor, fie


ascunse printr-un serviciu de scurtare a URL-ului, fie prin utilizarea de
hyperlinkuri. Folosind serviciul de scurtare a URL-ului sau un hyperlink,
utilizatorul rău intenționat ar putea masca identitatea adevărată a linkului. În
cele mai multe cazuri, este relativ ușor de detectat acest tip de încercare:
plasați cursorul mouse-ului peste link și veți vedea ținta reală.

Conținutul mesajului este o imagine

Pentru a evita detectarea de către filtrele de spam, mesajele false de e-mail


utilizează adesea o imagine în locul textului în corpul mesajului. Această imagine
este, de obicei, un hyperlink și este ușor de recunoscut: atunci când plasați
cursorul mouse-ului pe corpul mesajului pointer-ul devine o mână (în sistemul de
operare Windows).

Fișiere atașate

Deschiderea unui fișier atașat poate infecta computerul cu programe malware. Prin
urmare, nu deschideți niciodată elemente atașate în mesaje e-mail suspecte. Orice
fișier atașat pe care doriți să îl vedeți, ar trebui salvat mai întâi și apoi
scanat cu un program antivirus actualizat, înainte de a-l deschide.

Promisiuni care par prea bune pentru a fi adevărate

Utilizați bunul simț și fiți circumspect dacă vi se oferă bani sau reduceri care
par prea bune pentru a fi adevărate.

Anumite aspecte ale ingineriei sociale au fost discutate în lecțiile anterioare


(pericolele asociate cu e-mailurile, respectiv phishing). Această lecție oferă o
scurtă trecere în revistă a diferitelor tipuri de tehnici de inginerie socială.

După finalizarea aceastei lecții, veți putea să definiți ingineria socială și să


descrieți metodele pe care aceasta le folosește. Astfel, vă veți putea apăra în
cazul unui atac de tip inginerie socială.

Veți avea nevoie de 6-8 minute pentru a parcurge această lecție.

Ingineria socială este termenul ce descrie atacurile care nu vizează


vulnerabilitățile tehnice, ci modul în care oamenii sunt manipulați să dezvăluie
informații sau să efectueze acțiuni pe care în mod normal nu le-ar face și nici nu
ar trebui să le facă.

Este un termen generic pentru orice formă de colectare a informațiilor, fraudă și


acces neautorizat la sisteme și rețele informatice, care implică aspectele
manipulării comportamentului uman.

Atacatorul care utilizează ingineria socială țintește o persoană care este


autorizată să efectueze anumite acțiuni sau are acces la informațiile vizate și
apoi utilizează una din multele tehnici specifice acestui tip de atac, pentru a
face persoana să creadă că ar trebui să efectueze efectiv acțiunea sau să dezvăluie
informațiile.

Pretextul înseamnă crearea unui scenariu inventat care crește șansa ca atacul să
aibă succes, în comparație cu circumstanțele obișnuite, de exemplu:

uzurparea identității colegilor sau a unor persoane cu funcție și autoritate;


folosirea tonului și vocii pe care un superior ar folosi-o.
Furtul prin deturnare înseamnă redirecționarea informațiilor sau a expedierilor
către o altă adresă/locație, diferită de cea originală (de exemplu, spunând
personalului responsabil că respectivul conținut este necesar, urgent, într-o altă
locație).

În 2013, asistenta administrativă a unei companii multinaționale franceze, a primit


un e-mail, prin care i s-a cerut să descarce o factură de la un serviciu de
partajare de fișiere. Pe același subiect cu e-mailul, a primit un telefon de la
presupusul expeditor de facturi, un vicepreședinte al unei alte companii. Factura
era falsă, iar vicepreședintele era un impostor. Factura pe care asistenta a
descărcat-o, conținea de fapt un troian pentru acces la distanță (Remote Access
Trojan - RAT), care a fost folosit pentru înregistrarea apăsărilor de taste ale
asistentei, obținându-se astfel, toate acreditările în vederea accesării conturilor
și a fișierelor confidențiale.

Phishing-ul înseamnă solicitarea acreditărilor sau a informațiilor de verificare de


la clienții organizațiilor printr-un mesaj fals, care se presupune că provine din
partea administratorilor organizației.

Un tip special de phishing este phishing-ul telefonic IVR (Interactive Voice


Response), ceea ce înseamnă că oamenii fac apel la un sistem fals IVR (de tip robot
telefonic) care imită o structură legitimă. Sistemul fals ar putea, de exemplu, să
respingă apelurile de conectare, cu scopul de a afla parolele utilizatorilor.

Pentru mai multe informații despre phishing, consultați lecția respectivă a


cursului.

În caz de atac prin momeală (baiting), atacatorul abandonează un dispozitiv


infectat (CD/mediu amovibil) într-o locație și se bazează pe curiozitatea sau
lăcomia victimei de a-l lua și a examina conținutul acestuia.

Tehnica „quid-pro-quo” (un lucru pentru altul sau ceva la schimb) înseamnă a oferi
asistență unor persoane sau a le face anumite servicii, cu scopul ca ele să fie
dispuse să furnizeze informații pentru a returna o favoare (de exemplu, pretinzând
că fac parte din echipa de suport tehnic, le ajută cu rezolvarea unei probleme
pentru care le solicită parola).

Tailgating (termen preluat din zona rutieră - a merge aproape lipit de mașina din
față) înseamnă să treci de uși/porți în spatele persoanelor care au acces legitim
la zonele cu acces restricționat.

După cum s-a menționat în secțiunea „Securitatea calculatorului tip desktop”, este
foarte important să blocați cu parole stațiile de lucru nesupravegheate, chiar dacă
părăsiți biroul doar pentru câteva minute.

Pentru a evita problemele generate de ingineria socială, urmați recomandările de


mai jos.

Stabiliți relații de încredere limitate între angajați și creșteți gradul de


conștientizare cu privire la potențialele solicitări nelegitime ale atacatorilor
care utilizează ingineria socială.
Definiți modul de manipulare a informațiilor sensibile (când/de ce/cum) și a
protocoalelor de securitate.
Testați periodic gradul de conștientizare și protocoalele.
Însoțiți permanent oaspeții în zonele cu acces la rețea. Nu lăsați oaspeții singuri
în birouri, săli de așteptare sau săli de conferințe cu acces direct la rețea, mai
ales dacă sunt persoane necunoscute.
Nu uitați să blocați cu parolă computerul atunci când vă îndepărtați de el. Nu
contează că plecați doar câteva minute sau ore întregi.
Verificați întotdeauna identitatea persoanei care vă sună la telefon pentru a
solicita informații confidențiale.

Această lecție oferă o scurtă trecere în revistă a metodelor adecvate de eliminare


a informațiilor de pe mediile digitale și prezintă cerințele NATO privind mediile
digitale.

După finalizarea aceastei lecții, veți putea să:

descrieți consecințele eliminării necorespunzătoare a informațiilor;


descrieți metodele posibile pentru eliminarea informațiilor (cu ajutorul unor
aplicații specifice sau prin distrugere fizică);
vă protejați datele prin eliminarea/criptarea acestora în mod corespunzător.
Veți avea nevoie de 5 minute pentru a parcurge această lecție.

La fel ca la distrugerea documentelor în format hârtie, este important să folosiți


o procedură adecvată pentru ștergerea datelor sau casarea dispozitivelor.

În mod normal, ștergerea datelor digitale cu comanda „eliminați” sau „ștergeți” nu


este suficientă pentru a elimina definitiv informațiile stocate. De asemenea,
înainte de a casa sau de a vinde dispozitive de stocare, în special medii
amovibile, conținutul acestora trebuie îndepărtat/curățat în mod corespunzător.

De obicei, sistemele moderne de operare nu șterg fișierele de pe disc, ci mai


degrabă elimină informațiile referitoare la localizarea fișierelor pe disc. De
aceea, este necesar să existe și o altă metodă care să asigure eliminarea completă
a datelor de pe disc, înainte de a-l împrumuta altcuiva, arunca sau casa.

În sistemele de operare există aplicații care suprascriu conținutul fișierelor


înainte de a emite comanda „delete”.

De exemplu, utilitarul Unix/Linux „shred” suprascrie un fișier pentru a-i ascunde


conținutul și, opțional, îl șterge. Se suprascrie fișierul în mod repetat, pentru a
face mai dificilă recuperarea datelor, chiar dacă sunt folosite softuri
specializate în acest sens.

Există instrumente similare pentru sistemele de operare Windows și Mac, cum ar fi


Sdelete sau CCleaner.

Există, de asemenea, ghiduri ale instituțiilor oficiale și adesea ale corporațiilor


care conțin o procedură specifică pentru a se asigura că datele au dispărut
complet.

În rețelele NATO, metodele adecvate pentru acest proces depind de impactul datelor
asupra Alianței și sunt definite în „Directiva tehnică privind implementarea
declasificării, reducerii nivelului de clasificare și distrugerii echipamentelor de
sistem și a suporturilor de stocare”, emisă de către Comitetul C3 NATO.

Metodele întrebuințate pot fi diferite. În cazul unui impact minim, când nu există
amenințări (de obicei în rețelele NATO neclasificate), comanda de ștergere din
sistemul de operare este suficientă. Totuși, în cazul în care aceste condiții nu
sunt întrunite, datele trebuie să fie suprascrise cu un conținut aleatoriu sau după
un model aleatoriu, de mai multe ori.

Dacă impactul compromiterii datelor este foarte mare, conform directivei menționate
anterior, mediile de stocare trebuie să fie distruse fizic.
Directiva definește exact caracteristicile și cerințele pentru posibilele rămășițe
rezultate după distrugere. Acest proces necesită mai mult timp, echipamente
speciale și un mediu sigur.

Un utilizator nu se poate apăra împotriva tuturor tipurilor de atac și atacatori.


Este important să cunoaștem ce obiective de securitate este necesar să fie
îndeplinite, luând în calcul costurile apărării împotriva unor atacatori
experimentați. Aceste aspecte trebuie clarificate și avute în vedere în
problematica amenințărilor cibernetice pe care trebuie să le cunoaștem și de care
trebuie să ne protejăm.

Acestea sunt obiectivele de securitate care trebuie îndeplinite pentru sistemele


software.

Un atac reprezintă orice acțiune care compromite securitatea informațiilor deținute


de o organizație.

Conceptul de securitate a informațiilor se referă la prevenirea atacurilor sau, în


caz de eșec, cum să fie detectate atacurile asupra sistemelor care colectează,
organizează, memorează și comunică informații (information-based systems).

Adesea, termenii „amenințare” și „atac” sunt folosiți pentru a desemna același


lucru.

Există o gamă largă de atacuri.

Atacurile, într-o anumită măsură, pot fi clasificate și atribuite unei clase de


amenințări. Acest lucru ajută la stabilirea măsurilor de securitate de răspuns
împotriva atacului. În funcție de sistem, unele atacuri ar putea să nu fie posibile
sau relevante.

Faceți click pe filele de mai jos pentru a citi mai multe despre tipurile de atac.

Această categorie (Eavesdropping) conține atacuri care urmăresc accesul neautorizat


sau interceptarea datelor. Un exemplu este analiza traficului, care permite
atacatorului să obțină informații despre partenerii de comunicare.

Analiza traficului on-line poate releva informații confidențiale, dacă acestea nu


sunt protejate corespunzător, un exemplu fiind adresele de e-mail ale expeditorului
și destinatarului.

Atacurile de modificare vizează interceptarea și modificarea comunicării sau


informației în folosul atacatorului. Aceasta include și simpla ștergere sau
întârziere a mesajului.

Atacurile de tip clonare (Spoofing) sau altfel numitele prin deghizare, se referă
la procesul prin care un atacator sau un program își asumă altă identitate.
Partenerii de comunicare pot ajunge în situația de a discuta cu altă entitate.

Atacurile prin reluare presupun retrimiterea copiilor mesajelor originale către un


destinatar, de către atacator, pentru a compromite stabilitatea sistemului.

Repudierea presupune ca emitentul sau destinatarul mesajului să nege că mesajul a


fost emis/primit.

În cazul atacurilor de tip blocare/refuz de servicii, sistemele victimă sunt


încetinite sau întrerupte total. Pentru a obține acest rezultat, atacatorul poate
trimite cereri către server pentru a declanșa erori sau blocaje. De asemenea, poate
intercepta și șterge un răspuns al serverului către client, făcând clientul să
creadă că serverul nu răspunde. Blocările/refuzurile de servicii sunt adesea
declanșate de știri de senzație apărute în media, care țintesc către infrastructuri
informatice construite greșit sau care sunt deja suprasolicitate și care primesc
încărcare suplimentară de la utilizatorii interesați.

O formă specială de blocare/refuz de servicii este atacul de tip DDoS - blocarea


distribuită a serviciului (Distributed Denial of Service) care se referă la
atacatori care folosesc sute sau mii de sisteme pentru a aglomera serviciul. Acesta
este cazul așa numiţilor booţi (botnets) pe care îi vom descrie mai târziu.

Un exploit reprezintă partea unui software care utilizează o vulnerabilitate într-


un sistem sau serviciu, pentru a efectua un atac în scopul provocării scurgerilor
de informații sau compromiterii sistemului.

Exploit-urile sunt folosite direct de către un atacator sau injectate într-un


software pentru a-l transforma într-unul rău intenționat. Mai poate fi utilizat de
către profesioniștii din domeniul securității pentru a testa sistemele, a remedia
vulnerabilități sau a preveni potențiale probleme.

Faceți click pe filele de mai jos pentru a citi mai multe despre cele trei
tipologii majore de atacatori.

Infractorii individuali și crima organizată constituie cel mai mare grup de


atacatori. Aceștia sunt motivați financiar și efectuează atacuri împotriva
sistemelor și serviciilor, pentru a obține profit. Exemple din plaja de
infracțiuni: colectarea datelor de conectare și a parolelor utilizatorilor;
șantajul cu scopul de a impune o taxă de protecție.

În majoritatea cazurilor, atacurile se efectuează prin introducerea de programe în


computerele utilizatorilor neavizați (acest lucru este explicat mai detaliat în
capitolul următor). Dispozitivele infectate sunt apoi folosite pentru recoltarea
datelor și distribuirea de mesaje spam sau pentru efectuarea atacurilor DoS
(denial-of-service).

Acest lucru înseamnă că cei care execută atacul propriu-zis sunt utilizatori
nevinovați, care nu și-au securizat computerele în mod corespunzător sau care au
instalat un software care conține cod rău intenționat. Sistemul compromis este
controlat de la distanță de atacator. Această situație creează o problemă în
legătură cu responsabilitatea privind atacul cibernetic, deoarece utilizatorul nu
poate fi considerat responsabil pentru pagubele produse de codul rău intenționat.

Distingem două tipuri de agresori interni, care pot efectua atacuri asupra unei
organizații:

intruși cu intenții rele care extrag date confidențiale sau sabotează activitatea
companiei;
angajați forțați să permită atacuri.
În timp ce angajații obișnuiți pot executa involuntar acțiuni rău-intenționate,
amenințarea cea mai îngrijorătoare este produsă de cei autorizați să acceseze date
confidențiale, cum ar fi administratorii.

Serviciile secrete și personalul militar au investit și vor continua să investească


în cercetări legate de programele de securitate cibernetică. Aceștia sunt,
totodată, cei mai avansați și mai bine finanțați atacatori, deoarece beneficiază de
finanțare guvernamentală și de legislația necesară pentru a-și îndeplini misiunea.
În scop de apărare, unele guverne instruiesc persoane pentru a se specializa în
tehnici de atac cibernetic. Un subiect adesea discutat îl reprezintă posibilitatea
unui „război cibernetic”, în care națiunile se atacă reciproc folosind software rău
intenționat și exploit-uri. În viitor, acest tip de atac ar putea juca un rol
important în definirea noilor modele de atacatori, în special în ceea ce privește
spionajul industrial.

Hacktiviștii și grupurile organizate doresc să facă declarații politice, prin


atacuri către organizații sau site-uri web. Cel mai cunoscut tip de atac asociat cu
aceste grupuri este atacul DDoS. Aceste grupuri, în mod regulat, identifică și
exploatează vulnerabilități software, atacă şi apoi dau publicității informații
confidențiale din activitatea companiilor sau a instituțiilor guvernamentale.

Hacktiviștii și grupurile organizate sunt considerați cei mai periculoși atacatori,


pentru că urmează propriile lor interese, care pot contrazice opiniile majorității,
nu au obiective economice și pot fi complet imprevizibili în comparație cu cele
două tipuri prezentate anterior.

Amenințare - O situație sau eveniment din care poate rezulta un pericol. O


amenințare poate fi înțeleasă ca un potențial atac, accident sau eroare.
Potențială amenințare - Amenințare emergentă, bazată mai mult pe ipoteze teoretice
decât pe evenimente și incidente cibernetice reale.
Risc - Posibilitatea unui eveniment sau a unei condiții care poate avea un impact
asupra asigurării informațiilor, obiectivelor sau activităților.
Evaluarea riscului - Procesul de analiză a riscului, pe care amenințările și
vulnerabilitățile potențiale le ridică unui sistem informatic sau unui proces de
afaceri (atât probabilitatea, cât și impactul potențial).
Incident de securitate - Evenimentul care apare în momentul în care există o
amenințare și o vulnerabilitate în același timp, iar măsurile de protecție fie nu
sunt implementate, fie nu reușesc să respingă un atac cibernetic specific.
Vulnerabilitate - Un punct slab (slăbiciune) care permite situații sau evenimente
potențial periculoase, prin faptul că un atacator poate să compromită informațiile
dintr-un sistem.