Capitolul 2: Atacuri, concepte și tehnici

Acest capitol abordează modalitățile prin care profesioniștii din domeniul securității informatice analizează ce s-a
întâmplat după un atac cibernetic. Capitolul explică vulnerabilitățile de securitate software și hardware, precum și
diferitele categorii de vulnerabilități de securitate.

Sunt discutate diferitele tipuri de software rău intenționat (cunoscut sub numele de malware) și simptomele
programelor malware. Sunt abordate diferitele moduri prin care atacatorii se pot infiltra într-un sistem, precum și
atacurile de tip „denial of service”.

Majoritatea atacurilor cibernetice moderne sunt considerate atacuri mixte. Atacurile mixte utilizează tehnici
multiple pentru a penetra și a ataca un sistem. Atunci când un atac nu poate fi prevenit, este de datoria unui
profesionist în domeniul cibernetic să reducă impactul acestui atac.

Găsirea vulnerabilităților de securitate

Vulnerabilitățile de securitate reprezintă orice tip de eroare software sau hardware. După ce au dobândit
cunoștințe despre o vulnerabilitate, utilizatorii rău intenționați doresc să o exploateze. Un exploit este termenul
utilizat pentru a descrie un program scris pentru a profita de o vulnerabilitate cunoscută. Acțiunea de a folosi un
„exploit” împotriva unei vulnerabilități este numită atac. Scopul atacului este de a avea acces la sistem, la datele
pe care le găzduiește sau la o anumită resursă.

Vulnerabilitățile software

Vulnerabilitățile software apar în urma unor erori în sistemul de operare sau în codul de aplicație. În ciuda
eforturilor lansate de companii în găsirea și repararea vulnerabilităților software, tot timpul apar noi vulnerabilități.
Microsoft, Apple și alți producători de sisteme de operare lansează patch-uri și actualizări aproape în fiecare zi.
Foarte des întâlnite sunt și actualizările de aplicații. Aplicații precum browserele web, aplicațiile mobile și
serverele web sunt adesea actualizate de companiile sau organizațiile responsabile de ele.

În 2015, o vulnerabilitate majoră, numită SYNful Knock, a fost descoperită în Cisco IOS. Această vulnerabilitate a
permis atacatorilor să obțină control asupra unor routere de tip enterprise, precum Cisco 1841, 2811 și 3825.
Atacatorii pot astfel monitoriza comunicarea din rețea și pot avea capacitatea de a infecta alte dispozitive de
rețea. Această vulnerabilitate a fost introdusă în sistem în urma instalării unei versiuni IOS modificate. Pentru a
evita acest lucru, verificați întotdeauna integritatea versiunii IOS descărcate și limitați accesul la echipamentele
fizice doar pentru personalul autorizat.

Scopul actualizărilor software este să asigure un grad sport de protecție împotriva amenințărilor de securitate și
să evite exploatarea vulnerabilităților. Unele companii au echipe de testare dedicate care caută, identifică și
remediază vulnerabilitățile software înainte ca acestea să poată fi exploatate. De asemenea, există terțe grupuri
de cercetători în securitate care se specializează în depistarea vulnerabilităților software.

Project Zero de la Google este un foarte bun exemplu al unei astfel de practici. După ce a descoperit o serie de
vulnerabilități în diverse programe software folosite de utilizatorii finali, Google a format o echipă permanentă
dedicată depistării vulnerabilităților software. Google Security Research poate fi găsită aici.

Vulnerabilitățile hardware

Vulnerabilitățile hardware apar ca urmare a unor erori de design hardware. Memoria RAM, de exemplu,
înseamnă, în esență, condensatoare instalate foarte aproape unul de celălalt. S-a descoperit că, din cauza
apropierii, modificările constante aplicate unuia dintre aceste condensatoare pot influența condensatorii vecini.
Pe baza acestui defect de proiectare, a fost creat un exploit numit Rowhammer. Prin rescrierea memoriei în mod
repetat în aceleași adrese, exploit-ul Rowhammer permite ca datele să fie preluate din celulele de memorie din
apropiere, chiar dacă celulele sunt protejate.

Vulnerabilitățile hardware sunt specifice diferitelor modele de dispozitive și în general nu sunt exploatate prin
încercări de compromitere aleatorii. În timp ce exploit-urile hardware sunt mai frecvente în atacurile bine
direcționate, măsurile obișnuite de securitate împotriva malware reprezintă o protecție suficientă pentru
utilizatorul de zi cu zi.
Clasificarea vulnerabilităților de securitate

Majoritatea vulnerabilităților de securitate software se încadrează în una din următoarele categorii:

Buffer overflow – Această vulnerabilitate apare atunci când datele sunt scrise dincolo de limitele unui buffer.
Buffer-ele sunt zone de memorie alocate unei aplicații. Prin schimbarea datelor dincolo de limitele unui buffer,
aplicația accesează memoria alocată altor procese. Acest lucru poate duce la căderea sistemului, compromiterea
datelor sau poate permite extinderea privilegiilor de acces.

Non-validated input –Programele funcționează prin introduceri de date (data input). Datele care intră în
program ar putea transporta conținut rău intenționat, conceput pentru a forța programul să se comporte anormal.
Imaginați-vă un program care primește o imagine pentru procesare. Un utilizator rău intenționat poate crea un
fișier imagine cu dimensiuni nevalide. Dimensiunile greșite ar putea forța programul să aloce buffere de
dimensiuni incorecte și neașteptate.

Race conditions – Această vulnerabilitate apare atunci când output-ul unui eveniment depinde de ieșirile
comandate sau temporizate. O „race condition” devine o vulnerabilitate, atunci când evenimentele comandate
sau temporizate nu se produc în ordinea corectă sau la momentul potrivit.

Puncte slabe în practicile de securitate – Sistemele și datele sensibile pot fi protejate prin tehnici precum
autentificare, autorizare și criptare. Dezvoltatorii nu ar trebui să încerce să creeze algoritmi de securitate proprii,
deoarece cel mai probabil vor introduce vulnerabilități. Este recomandat ca dezvoltatorii să folosească librării de
securitate care au fost deja create, testate și verificate.

Probleme de control al accesului– Controlul accesului este procesul prin care este controlată utilizarea rețelei
și presupune activități precum gestionarea accesului fizic la echipament, până la a impune cine are acces la o
resursă, cum ar fi un fișier, și ce poate face cu acesta, cum ar fi citirea sau modificarea fișierului. Multe
vulnerabilități de securitate sunt create de utilizarea necorespunzătoare a proceselor de control al accesului.

Aproape toate procesele de control al accesului și practicile de securitate pot fi eludate dacă atacatorul are acces
fizic la echipamentele țintă. De exemplu, indiferent de cum ați stabilit permisiunile unui fișier, sistemul de operare
nu poate împiedica pe cineva să ocolească sistemul de operare și să citească datele direct de pe disc. Pentru a
proteja mașina și datele pe care aceasta le conține, accesul fizic trebuie să fie restricționat și trebuie utilizate
tehnici de criptare pentru a proteja datele împotriva furturilor sau distrugerilor.

Tipuri de malware

Prescurtare de la „Malicious software” (software rău intenționat), malware este orice cod care poate fi folosit
pentru a fura date și a ocoli procesele de control al accesului, pentru a provoca daune sau a compromite un
sistem. Iată câteva tipuri comune de malware:

Spyware – Acest tip de malware este proiectat pentru a urmări și spiona utilizatorul. Spyware includ adesea
sisteme de urmărire a activității, sisteme keystroke collection care strâng informații despre succesiunea în care
sunt lovite tastele și captarea de date. În încercarea de a ocoli măsurile de securitate, aplicațiile spyware
modifică adesea setările de securitate. Spyware se îmbină deseori cu software legitim sau cu troieni.

Adware – Software-ul pentru publicitate este conceput pentru a livra anunțuri în mod automat. Adware este
adesea instalat cu unele versiuni de software. Unele programe adware sunt concepute să difuzeze numai
reclame, dar sunt foarte des întâlnite și situațiile în care adware este însoțit de programe spyware.

Bot – De la cuvântul robot, un bot este un malware conceput pentru a efectua automat acțiuni, de obicei online.
Majoritatea boților sunt inofensivi, însă utilizarea boților în scopuri ilegitime devine tot mai ridicată. Botnet-urile se
referă la infectarea mai multor calculatoare cu bots care sunt programați să aștepte comenzile furnizate de
atacator.

Ransomware – Acest malware este conceput pentru a ține captiv un sistem informatic sau datele pe care acesta
le conține până la efectuarea unei plăți. Ransomware funcționează de obicei prin criptarea datelor din computer
cu o cheie necunoscută utilizatorului. Alte versiuni de ransomware pot profita de anumite vulnerabilități ale
sistemului pentru blocarea în întregime a sistemului. Ransomware se răspândește prin intermediul unui fișier
descărcat sau printr-o vulnerabilitate software.
Scareware – Acesta este un tip de malware conceput pentru a convinge utilizatorul să întreprindă o acțiune
specifică bazată pe frică. Scareware deschide ferestre pop-up care seamănă cu ferestrele de dialog din sistemul
de operare. Aceste ferestre transmit mesaje false care anunță că sistemul este în pericol sau are nevoie de
executarea unui program specific pentru a reveni la funcționarea normală. În realitate, nu există probleme, iar
dacă utilizatorul este de acord și șterge programul menționat pentru a fi rulat, sistemul său va fi infectat cu
malware.

Rootkit – Acest malware este conceput pentru a modifica sistemul de operare, astfel încât să creeze o portiță de
acces. Atacatorii folosesc apoi această portiță pentru a accesa computerul de la distanță. Majoritatea rootkit-
urilor profită de vulnerabilitățile software pentru a extinde privilegiile de acces și a modifica fișierele de sistem.
Rootkit-urile modifică instrumentele de monitorizare ale sistemului, ceea ce le face foarte greu de detectat. Un
calculator infectat cu un rootkit are nevoie de o curățare completă și de o reinstalare a sistemului de operare.

Virus - Un virus este un cod executabil malware, atașat la alte fișiere executabile, adesea programe legitime.
Majoritatea virușilor necesită declanșarea de către utilizatorul final și se pot activa la un anumit moment sau o
anume dată. Virușii pot fi inofensivi și pot afișa o imagine sau pot fi distrugători, cum sunt cei care modifică sau
șterg date. Virușii pot fi, de asemenea, programați să se modifice, pentru a evita detectarea. În prezent,
majoritatea virușilor se răspândesc prin intermediul unităților USB, discurilor optice, partajărilor în rețea sau e-
mail-ului.

Troian Un troian este un malware care execută operațiuni rău intenționate disimulate ca operațiuni dorite. Acest
cod rău intenționat exploatează privilegiile utilizatorului care îl execută. Adesea, troienii se găsesc în fișiere
imagine, fișiere audio sau jocuri. Un Troian diferă de un virus, deoarece se atașează de fișiere non-executabile.

Worms – este un cod rău intenționat care se repetă prin exploatarea independentă a vulnerabilităților din rețele.
De obicei, worms încetinesc rețelele. În timp ce un virus necesită un program gazdă pentru a rula, worms pot rula
singuri. În afară de infecția inițială, ei nu mai implică ulterior utilizatorii. După ce o gazdă este infectată, worm-ul
se poate răspândi foarte repede în rețea. Worms au tipare similare. Au o vulnerabilitate activă, o modalitate de a
se propaga singuri și conțin un payload.

Worms sunt responsabili pentru unele dintre cele mai devastatoare atacuri pe Internet. Așa cum se arată în
Figura 1, în 2001, worm-ul Code Red a infectat 658 de servere. În 19 ore, worm-ul a infectat peste 300.000 de
servere, așa cum se arată în Figura 2.

Man-In-The-Middle (MitM) – MitM permite atacatorului să preia controlul asupra unui dispozitiv fără știrea
utilizatorului. Cu acest nivel de acces, atacatorul poate intercepta informațiile despre utilizator înainte ca acestea
să fie transmise la destinația dorită. Atacurile MitM sunt utilizate pe scară largă pentru a fura informații financiare.
Există multe programe malware și tehnici care oferă atacatorilor capabilități MitM.

Man-In-The-Mobile (MitMo) – O variantă a MitM, MitMo este tipul de atac folosit pentru a prelua controlul asupra
unui dispozitiv mobil. Atunci când este infectat, dispozitivul mobil poate fi instruit să extragă informații sensibile
de la utilizator și să le trimită atacatorilor. ZeuS, un exemplu de exploit cu capabilități MitMo, permite atacatorilor
să intercepteze mesajele SMS cu verificare în doi pași trimise utilizatorilor.
Simptome de malware

Indiferent de tipul de malware cu care a fost infectat un sistem, există câteva simptome malware comune:

 creșterea utilizării CPU.

 scăderea vitezei calculatorului.

 computerul se blochează sau se oprește des.

 scăderea vitezei de navigare pe Web.

 probleme inexplicabile cu conexiunile la rețea.

 fișierele sunt modificate.

 fișierele sunt șterse.

 prezența unor fișiere, programe sau pictograme necunoscute.

 rularea unor procese necunoscute.

 programele se opresc sau se reconfigurează singure

 trimiterea de email-uri fără știința sau acordul utilizatorului.

Inginerie socială

Social engineering (ingineria socială) este un tip de atac prin care se încearcă manipularea indivizilor în
efectuarea de acțiuni sau în divulgarea de informații confidențiale. Social engineers se bazează adesea pe
dorința oamenilor de a fi de ajutor, dar profită și de slăbiciunile acestora. De exemplu, un atacator ar putea suna
un angajat autorizat cu privire la o problemă urgentă care necesită acces imediat la rețea. Atacatorul poate face
apel la vanitatea angajatului, poate invoca numele unor persoane cu autoritate sau poate profita de aviditatea
angajatului.

Iată câteva tipuri de atacuri social engineering:

  Pretexting - un atacator sună un individ și îl minte în încercarea de a primi acces la date privilegiate. Un
exemplu este acela al unui atacator care pretinde că are nevoie de date personale sau financiare pentru a
confirma identitatea destinatarului.

 Tailgating - un atacator intră într-o locație restricționată, în spatele persoanei care are acces autorizat.

 Quid pro quo - un atacator solicită informații personale de la cineva, în schimbul a ceva.

Spargerea parolei Wi-Fi

Spargerea parolei Wi-Fi este procesul prin care e descoperită parola utilizată pentru protejarea unei rețele Wi-Fi.
Iată câteva tehnici utilizate în spargerea de parole:

Social engineering – Atacatorul convinge o persoană care cunoaște parola să i-o dezvăluie, prin tehnici de
manipulare.

Atacurile de forță – Atacatorul încearcă mai multe parole posibile, în încercarea de a ghici parola. Dacă parola
este formată dintr-un număr de 4 cifre, de exemplu, atacatorul ar trebui să încerce fiecare din cele 10.000 de
combinații. Atacurile de forță presupun de obicei existența unui fișier cu liste de cuvinte. Acesta este un fișier text
care conține o listă de cuvinte preluate dintr-un dicționar. Un program încearcă apoi toate cuvintele și
combinațiile posibile. Pentru că atacurile de forță necesită timp, durează mult mai mult să fie ghicite parole
complexe. Iată câteva instrumente folosite pentru astfel de atacuri: Ophcrack, L0phtCrack, THC Hydra,
RainbowCrack și Medusa.

Network sniffing – Prin ascultarea și captarea pachetelor trimise în rețea, un atacator ar putea descoperi parola,
dacă aceasta este trimisă necriptată (ca text simplu). Chiar dacă parola este criptată, atacatorul ar putea să o
afle folosind un instrument de spargere a parolelor.

Phishing

Phishing reprezintă trimiterea de către o persoană rău intenționată a unui e-mail fraudulos, disimulat ca fiind
dintr-o sursă legitimă și de încredere. Scopul mesajului este de a păcăli destinatarul să instaleze malware pe
dispozitivul său, sau de a împărtăși informații personale sau financiare. Un exemplu de phishing este un e-mail
falsificat pentru a arăta ca și cum a fost trimis de către un magazin, care solicită utilizatorului să acceseze un link
pentru a revendica un premiu. Link-ul duce către un site fals, care solicită informații personale, sau poate instala
un virus.

Spear phishing este un atac de phishing foarte bine direcționat. Atât atacurile phishing, cât și cele de tip spear
phishing folosesc email-ul pentru a ajunge la victime, însă e-mail-urile din atacurile spear phishing sunt
personalizate pentru o anumită persoană. Atacatorul studiază interesele țintei înainte de a trimite e-mailul. De
exemplu, un atacator află că ținta este interesată de mașini și vrea să cumpere un anumit model de mașină.
Atacatorul se alătură forumului de discuții despre acel model de mașină din care face parte și ținta, alcătuiește o
ofertă de vânzare falsă și trimite e-mail către țintă. Email-ul conține un link cu imagini ale mașinii. Când ținta dă
click pe link, malware-ul este instalat pe computerul vizat.

Exploatarea vulnerabilităților

Exploatarea vulnerabilităților este o altă metodă comună de infiltrare. Atacatorii pot scana computerele pentru a
obține informații despre ele. Vă prezentăm o metodă comună de exploatare a vulnerabilităților:

Pasul 1. Colectarea de informații despre sistemul țintă. Acest lucru se poate face în mai multe moduri, cum ar fi
un port scanner sau social engineering. Scopul este de a afla cât mai multe informații posibile despre computerul
țintă.

Pasul 2O parte din informațiile relevante menționate la pasul 1 se pot referi la sistemul de operare, versiunea
acestuia și lista de servicii care rulează pe el.

Pasul 3. După ce atacatorul află sistemul de operare și versiunea utilizată de calculatorul țintei, caută orice
vulnerabilități specifice acelei versiuni a sistemului de operare sau a altor servicii ale acestuia.
Pasul 4. Când este găsită o vulnerabilitate, atacatorul caută exploit-ul potrivit. Dacă nu a fost scris niciun exploit,
atacatorul poate lua în considerare scrierea unui exploit.

Figura 1 descrie un atacator folosind whois, o bază de date publică pe Internet, care conține informații despre
numele de domenii și deținătorii acestora. Figura 2 descrie un atacator folosind instrumentul nmap,un scaner
popular de porturi. Cu un scaner de porturi, un atacator poate detecta porturile unui computer țintă pentru a afla
ce servicii rulează pe acel computer.

Advanced Persistent Threats

O modalitate de infiltrare într-un sistem sunt atacurile de tip Advanced persistent threats (APTs). Acestea
constau din operațiuni avansate derulate în mai multe etape, pe termen lung și îndreptate împotriva unei ținte
specifice. Datorită complexității și competențelor necesare pentru a le derula, APT-urile sunt de obicei foarte bine
finanțate. Acest tip de atacuri vizează companii sau țări, din motive economice sau politice.

Scopul acestor atacuri este de a instala malware personalizat pe unul sau mai multe dintre sistemele țintă și de a
rămâne nedetectat. Deoarece presupune mai multe etape de operare și mai multe tipuri personalizate de
malware care afectează diferite dispozitive și îndeplinesc anumite funcții specifice, în general un atacator
individual nu deține competențele, resursele sau determinarea de a realiza un atac APT.

DoS

Atacurile Denial-of-Service (DoS) reprezintă un tip de atac de rețea. Un atac DoS produce întreruperi ale
serviciilor de rețea către utilizatori, dispozitive sau aplicații. Există două tipuri majore de atacuri DoS:

Trafic uriaș de date - Atunci când o rețea, o gazdă sau o aplicație primește o cantitate enormă de date la o
viteză pe care nu o poate gestiona. Acest lucru cauzează încetinirea proceselor, un răspuns întârziat la comenzi
și chiar stricarea dispozitivului.

Pachete formatate cu rea intenție - Un pachet formatat cu rea intenție este trimis către o gazdă sau o aplicație,
iar receptorul nu îl poate gestiona. De exemplu, un atacator transmite pachete care conțin erori ce nu pot fi
identificate de către aplicație sau pachete formatate incorect. Din acest motiv, dispozitivul care recepționează
aceste pachete funcționează foarte lent sau se poate strica.

Atacurile DoS sunt considerate un risc major, deoarece pot întrerupe cu ușurință comunicarea și pot provoca
pierderi semnificative de timp și bani. Aceste atacuri sunt relativ simplu de realizat, chiar și de către un atacator
necalificat.

DDoS

Un atac Distribuit DoS (DDoS) este similar cu un atac DoS, dar provine din mai multe surse coordonate. De
exemplu, un atac DDoS ar putea funcționa astfel:

Un atacator construiește o rețea de gazde infectate, numită „botnet”. Gazdele infectate sunt numite „zombie”.
Zombie sunt controlați de sistemele de comandă.

Computerele zombie scanează permanent și infectează mai multe gazde, creând mai mulți zombie. Când totul e
pregătit, hacker-ul instruiește sistemele să comande botnet-ului zombie un atac DDoS.

SEO Poisoning

Motoarele de căutare, cum ar fi Google, clasifică paginile și prezintă rezultate relevante pe baza căutărilor făcute
de utilizatori. În funcție de relevanța conținutului site-ului Web, acesta poate apărea mai sus sau mai jos în lista
cu rezultatele căutării. SEO, prescurtarea de la Search Engine Optimization, adică optimizarea motoarelor de
căutare, reprezintă un set de tehnici utilizate pentru a îmbunătăți ierarhia unui site într-un motor de căutare.
Foarte multe companii sunt specializate în optimizarea site-urilor web pentru a le poziționa mai bine în căutări, în
mod legal, cu toate acestea un utilizator rău intenționat ar putea folosi SEO pentru a poziționa un site malițios
mult mai sus în rezultatele de căutare. Această tehnică se numește SEO Poisoning.
Scopul SEO Poisoning este de a crește traficul site-urilor rău intenționate, care ar putea găzdui programe
malware sau derula activități de social engineering. Pentru a poziționa cât mai sus în rezultatele de căutare un
site rău intenționat, atacatorii se folosesc de cei mai populari termeni de căutare.

Ce este un atac mixt?

Atacurile combinate utilizează tehnici multiple pentru a compromite o țintă. Prin utilizarea mai multor tehnici de
atac simultan, atacatorii dispun de malware sub o formă hibridă de worms, troieni, spyware, keyloggers, spam și
scheme de phishing. Atacurile combinate supun datele utilizatorilor la un risc mai mare.

Cel mai obișnuit tip de atac combinat utilizează mailuri spam, mesaje instant sau site-uri legitime pentru a
distribui link-uri de unde programele malware sau spyware sunt descărcate în mod secret în calculator. Un alt tip
de atac combinat utilizează DDoS împreună cu mailuri de phishing. DDoS este folosit mai întâi pentru a sparge
site-ul unei bănci importante. Sunt trimise apoi e-mailuri către clienții băncii, cu scuze pentru neplăcerile create.
Totodată, utilizatorii sunt direcționați către un site de urgență fals, de unde le pot fi furate datele de autentificare.

Mulți dintre cei mai dăunători worms de calculator, cum ar fi Nimbda, CodeRed, BugBear, Klez și Slammer, pot fi
clasificați de fapt ca atacuri combinate:

 Unele variante Nimbda au folosit ca metode de propagare atașamentele de e-mail, descărcarea de

fișiere de pe un server web compromis și Microsoft file sharing (de exemplu, acțiuni anonime).

 Alte variante Nimbda au putut modifica conturile clienților pentru a oferi atacatorului sau codului
malware drepturi de administrare.

Cei mai recenți worms, Conficker și ZeuS/LICAT, au fost de asemenea atacuri combinate. Conficker a folosit
toate metodele tradiționale de distribuție.

Ce este reducerea impactului?

Majoritatea companiilor din prezent sunt conștiente de problemele comune de securitate și depun eforturi
considerabile pentru a le preveni, cu toate acestea niciun set de practici de securitate nu este 100% eficient.
Oricând poate apărea o breșă de securitate, de aceea companiile trebuie să fie pregătite să poată limita
pagubele.

Important de menționat este că impactul unei breșe de securitate nu se referă doar la latura tehnică, și anume
date furate, baze de date distruse sau daune legate de proprietatea intelectuală. Pagubele se extind și la
reputația companiei. Răspunsul la o breșă de securitate este un proces foarte dinamic.

Câteva măsuri importante pe care ar trebui să le ia o companie atunci când identifică o breșă de securitate,
conform mai multor experți în securitate:

 Comunicați problema. Pe plan intern, angajații trebuie să fie informați despre problemă și să acționeze.
Pe plan extern, clienții trebuie informați prin comunicări directe și anunțuri oficiale. Comunicarea creează
transparență, care este crucială în acest tip de situație.

 Fiți sincer și asumați-vă răspunderea, în cazul în care compania este vinovată.

 Oferiți detalii. Explicați de ce a avut loc incidentul și ce date au fost compromise. Compania ar trebui să
asigure clienților afectați servicii de protecție împotriva furtului de identitate.

 E important să înțelegeți cauzele producerii breșei de securitate. Dacă este necesar, angajați experți
pentru a cerceta problema.

 Țineți cont de rezultatele investigației realizate de experți pentru a vă asigura că astfel incidente nu vor
mai avea loc în viitor.
  Asigurați-vă că toate sistemele sunt curate, că nu au fost instalați diverși backdoors și că nimic altceva
nu a fost compromis. Atacatorii vor încerca să lase o portiță de acces pentru a facilita viitoare atacuri.
Asigurați-vă că acest lucru nu se întâmplă.

 Instruiți angajații, partenerii și clienții cu privire la modalitățile de prevenire a breșelor de securitate.

Rezumat capitolul 2: Atacuri, concepte și tehnici

Acest capitol abordează modalitățile prin care profesioniștii din domeniul securității informatice analizează ce s-a
întâmplat după un atac cibernetic. Capitolul explică vulnerabilitățile de securitate software și hardware, precum și
diferitele categorii de vulnerabilități de securitate.

Sunt explicate diferitele tipuri de software rău intenționat (cunoscut sub numele de malware) și simptomele
acestora. Printre programele malware amintite: viruși, worms, troieni, spyware, adware etc.

Au fost analizate modurile prin care atacatorii pot penetra un sistem, inclusiv prin tehnici precum social
engineering, spargerea parolei Wi-Fi, phishing și exploatarea vulnerabilităților. De asemenea, au fost explicate
diferitele tipuri de atacuri Denial of Service.

Atacurile combinate utilizează tehnici multiple pentru a ataca un sistem. Mulți dintre cei mai dăunători worms de
calculator, cum ar fi Nimbda, CodeRed, BugBear, Klez și Slammer, pot fi clasificați de fapt ca atacuri combinate.
Atunci când un atac nu poate fi prevenit, rolul profesionistului în securitate cibernetică este de a reduce impactul
acestui atac.

Dacă doriți să aflați detalii despre noțiunile prezentate în acest capitol, vă rugăm să consultați pagina Additional
Resources and Activities din Student Resources.