TEMA 9: AMENINȚĂRI ȘI VULNERABILITĂȚI LA ADRESA SECURITĂȚII

INFORMAȚIEI

Obiectivele temei:
 Descrierea noțiunii de amenințare la adresa securității informației.
 Analiza tipurilor de software rău intenționat.
 Analiza tipurilor de atacuri informatice.
 Familiarizarea cu vulnerabilitățile de securitate și cu managementul vulnerabilităților.

Cuvinte-cheie:
ameninţare pentru programe spion,
securitatea informaţiei, atacuri informatice,
surse de amenințări, vulnerabilități,
viruși informatici, scanner de vulnerabilități.
viermi informatici,

Securitatea informației este obținută și menținută prin implementarea unui set adecvat de
politici, practici, proceduri, structuri organizaționale, instrumente hardware și aplicații software.
Aceste elemente trebuie implementate în măsura în care se asigură atingerea obiectivelor specifice
de securitate.
Este important ca fiecare organizație să poată să-și identifice propriile cerințe de securitate,
iar una dintre căile de a realiza acest lucru este evaluarea riscurilor, adică identificarea
amenințărilor asupra resurselor, evaluarea vulnerabilității la aceste amenințări și probabilitatea de
producere a lor, precum și estimarea impactului potențial.

9.1. Noțiune de amenințare la adresa securității informației

O ameninţare pentru securitatea informaţiei este o intenţie, acţiune, inacţiune, manifestată
real sau potenţial sau factor cu caracter ecologic, tehnic sau de alt gen, a căror realizare sau
dezvoltare contravine sau poate să contravină intereselor legale de bază ale persoanei, societăţii şi
statului în spaţiul informaţional.
Amenințările la adresa securității informațiilor pot fi clasificate în funcție de diferite criterii:
 după aspectul securității informațiilor:
o amenințări la adresa confidențialității;
o amenințări la adresa integrității;
o amenințări la adresa accesibilității;
 după localizarea sursei amenințării:
o amenințări interne (sursele amenințării se află în sistem);
o amenințări externe (sursele amenințării sunt în afara sistemului);
  după mărimea daunelor:
o amenințări generale (cauzează daune generale entității, provocând pagube
importante);
o amenințări locale (care provoacă daune anumitor părți ale entității);
o amenințări particulare (provoacă daune proprietăților individuale ale
elementelor entității);
 după gradul de influență asupra sistemului informatic:
o amenințări pasive (structura și conținutul sistemului nu se schimbă);
o amenințări active (structura și conținutul sistemului pot fi modificate).
 după natura de proveniență:
o amenințări naturale (obiective) - cauzate de impactul proceselor fizice
obiective sau al fenomenelor naturale care nu depind de voința omului;
o amenințări artificiale (subiective) - cauzată de impactul asupra sferei
informaționale a omului.
Amenințările artificiale, la rândul lor pot fi neintenționate sau intenționate.
Amenințările neintenționate (sau accidentale) sunt erori ale aplicațiilor software, erorile de
sistem, defecțiunile în tehnologia informatică și de comunicații, erori ale personalului.
Amenințările intenționate (sau deliberate) sunt accesul neautorizat la informații, dezvoltarea
de software special folosit pentru accesul ilegal, dezvoltarea și distribuția programelor software
malițioase etc. Amenințările intenționate sunt cauzate de acțiunile oamenilor, iar principalele
probleme ale securității informațiilor sunt asociate în primul rând cu aceste amenințări, deoarece
acestea constituie principala cauză a criminalității și a delincvenței.
Surse de amenințări pot fi persoane particulare, concurenți, infractori, funcționari corupți,
organe administrative și de conducere, etc. Sursele de amenințări urmăresc obiective cum sunt:
cunoașterea informațiilor protejate, modificarea lor în scopul obținerii de profit, distrugerea pentru
cauzarea daunelor materiale directe etc.
Sursele de amenințări pot fi împărțite în trei grupe principale:
 surse antropogene - subiecții ale căror acțiuni pot duce la o încălcare a securității
informațiilor, acțiuni care pot fi calificate drept infracțiuni intenționate sau accidentale;
aceste surse pot fi atât externe, cât și interne, ele pot fi prezise și pot fi luate măsuri
adecvate;
 surse tehnogene - mijloacele tehnice utilizare de subiecți; ele sunt mai puțin previzibile,
depind în mod direct de proprietățile tehnologiei și, prin urmare, necesită o atenție
deosebită; aceste surse de amenințări la adresa securității informațiilor pot fi, de
asemenea, interne sau externe;

2
  surse naturale - circumstanțele care constituie o forță insurmontabilă (calamități
naturale sau alte circumstanțe care nu pot fi prevăzute sau prevenite, sau pot fi
prevăzute, dar este imposibil de a le preveni), astfel de circumstanțe care au un caracter
obiectiv și absolut, care se aplică tuturor; aceste surse de amenințare nu pot fi anticipate
și, prin urmare, ar trebui întotdeauna aplicate măsuri împotriva lor; sursele naturale sunt
de obicei externe obiectului protejat, iar sub ele, sunt în general înțelese dezastre
naturale.

După cum am menționat mai sus amenințările intenționate constituie principala cauză a
criminalității și a delincvenței, iar cea mai numeroasă clasă de amenințări de acest fel este software-
ul rău intenționat.

9.2. Software-ul rău intenționat

Software-ul rău intenționat sau software-ul dăunător (sau malware - malicious software) este
un tip de software proiectat intenționat pentru deteriorarea unui calculator sau infiltrarea în el, sau/și
deteriorarea ori infiltrarea în întregi rețele de calculatoare, fără consimțământul proprietarului
respectiv. Noțiunea se utilizează generalizat de către informaticieni pentru a desemna orice formă
ostilă, intruzivă sau supărătoare de software sau cod de program.
Malware-ul este conceput în special pentru a obține acces la calculatorul unui proprietar
păcălindu-l pe acesta să instaleze un anumit software. El poate urmări ce anume accesează un
utilizator pe calculatorul său și poate provoca pagube pe care acesta s-ar putea să nu le
conștientizeze.
Malware-ul este văzut, de cele mai multe ori, sub formă de viruși, viermi, keyloggere,
spyware, etc. și poate fi utilizat pentru a fura informații sensibile sau a răspândi spamuri prin e-mail,
iar astăzi aceste programe înșelătoare mai sunt folosite pentru a genera venituri prin publicitate
forțată.
9.2.1. Virușii informatici
Virusul este un software, de regulă distructiv, proiectat pentru a infecta un sistem informatic.
Viruşii informatici sunt creaţi din diverse motive: un specialist vrea să-şi demonstreze abilităţile, o
firmă producătoare de software îşi protejează programele (activează un virus la copierea ilicită), o
firmă de software producătoare de antiviruşi lansează un virus pentru a-şi vinde produsele etc.
Virusul prezintă două caracteristici de bază: se auto-execută şi se auto-multiplică.
Mecanismul de activare verifică dacă s-a întâmplat un anumit eveniment sau o anumită
condiţie. Când aceasta are loc, virusul îşi execută obiectivul care de cele mai multe ori este unul
nedorit, distructiv pentru sistemul informatic. În funcţie de motivele autorului, un virus poate crea
daune imediat după execuţia lui sau poate aştepta până când are loc un anumit eveniment. În cazul
în care mecanismul de activare verifică dacă a fost atinsă o anumită dată calendaristică pentru a
3
executa virusul, putem spune că virusul este o bombă cu ceas (time bomb). Dacă se verifică
existenţa unei condiţii, ca de exemplu lansarea în execuţie a unui program de un anumit număr de
ori), putem numi virusul bombă logică (logic bomb). Astfel pot exista diferite mecanisme de
activare sau niciunul, în acest caz existând doar infectarea iniţială. O dată ce virusul a fost activat,
pot declanşa acţiuni devastatoare pentru un sistem cum ar fi ştergerea informaţiilor de pe sistemul
de stocare sau schimbarea tabelei de partiţii a hard disk-ului.
Iniţial virusul se află în interiorul unui program, strecurat printre instrucţiuni. Atât timp cât
programul nu este executat, virusul nu este activat. Odată ce acesta a fost activat, virusul încearcă să
se infiltreze printre instrucţiunile altor programe, contaminând întreg sistemul. Această acţiune
poartă numele de mecanism de replicare.
Mecanismul de replicare îndeplineşte următoarele funcţii:
 caută alte programe pentru a le infecta;
 verifică programul găsit dacă a mai fost infectat anterior după semnătura virusului;
 inserează instrucţiuni ascunse în interiorul programului;
 modifică secvenţa de execuţie a programului infectat astfel încât instrucţiunile ascunse
să fie executate ori de câte ori programul este apelat;
 creează o semnătură pentru a indica faptul că programul a fost infectat pentru a nu fi
infectat încă o dată.
Această semnătură a virusului este necesară pentru ca programele din interiorul sistemului
informatic să nu fie infectate în mod repetat, acest lucru ducând la creşterea dimensiunii
programelor şi automat la detecţia existenţei virusului. Mecanismul de replicare poate îndeplini şi
alte funcţii cum ar fi resetarea datei de modificare a documentului infectat la valoarea ei iniţială
(data la care a fost creat documentul) sau raportarea dimensiunii iniţiale a documentului şi nu pe cea
în urma infectării.
Viruşii informatici pot fi clasificaţi în funcţie de programul executabil în care se infiltrează
sau în funcţie de modalitatea lor de funcţionare.
În funcţie de programul executabil în care se infiltrează, există mai multe tipuri de viruşi:
 viruşi MBR (Master Boot Record) – sunt acei viruşi care infectează MBR-ul de pe hard
disk-uri; MBR-ul fiind sectorul care conţine un scurt program ce încarcă sistemul de
operare. Dacă acest sector este corupt, sistemul de operare nu se mai poate încărca;
 viruşi BS (Boot Sector) – sunt asemănători cu viruşii MBR, singura diferenţă fiind că
viruşii BS au ca ţintă dischetele, CD-urile sau DVD-urile;
 viruşi de fişiere – sunt viruşii ce infectează o anumită categorie de fişiere. De obicei sunt
infectate fişierele executabilele (cele ce au extensia .exe sau .com), fişierele overlay (au
extensia .ovl) sau fişierele de sistem (au extensia .sys sau .drv);

4
 viruşi de macro-uri – viruşii se plasează într-unul sau mai multe macro-uri din cadrul
documentelor de tip Microsoft Office şi utilizează funcţionalităţile Visual Basic for
Applications;
 viruşi pereche – sunt viruşii ce creează un fişier executabil nou, cu acelaşi nume, dar cu
extensia .com. Dacă sunt întâlnite două fişiere executabile cu acelaşi nume, dar cu
extensii diferite: .com şi .exe, sistemul de operare Microsoft Windows lansează întâi
fişierul cu extensia .com;
 viruşii de link-uri – sunt viruşii ce alterează structura de directoare, redirecţionând calea
directorului unui fişier infectat către zona în care este localizat virusul. După lansare,
virusul poate încărca fişierul executabil, citind calea corectă a directorului fişierului
respectiv;
 viruşi specifici – sunt viruşii ce infectează anumite aplicaţii:
o viruşi de ActiveX – sunt scrişi pentru a infecta produsele Microsoft; utilizează
un cod încărcat pe un server şi se răspândesc în staţiile locale;
o viruşii VB script – folosesc Visual Basic pentru a accesa un cod dăunător de
pe un server web şi a-l răspândi în staţiile de lucru locale; este suficientă
accesarea unei pagini web pentru a infecta sistemul local de operare;
o Java-viruşii – folosesc programele Java pentru a efectua operaţii nedorite pe
staţiile de lucru.
După modalitatea de funcţionare şi de tehnicile folosite, viruşii se clasifică în:
 viruşi invizibili – folosesc tehnici de mascare care ascund faptul că sistemul a fost
infectat. Când sistemul de operare încearcă să afle dimensiunea unui program infectat,
virusul ascuns scade o parte din aceste date, egală cu dimensiunea propriului cod şi o
înlocuieşte cu datele corecte. Astfel, dacă programul este doar citit de un scanner de
viruşi, dar nu este rulat, codul viral este ascuns şi nu poate fi detectat;
 viruşi polimorfici – folosesc o tehnică de modificare a propriului cod viral, utilizând
tehnici de criptare avansate. Acest proces de modificare se numeşte mutaţie. Prin
mutaţie, un virus îşi poate schimba dimensiunea şi compoziția. În plus, îşi pot modifica
semnătura, fiind astfel mult mai greu de detectat de programele antivirus.
 viruşi rezidenţi sau non-rezidenţi în memoria calculatorului:
o viruşi rezidenţi în memorie – se instalează la un nivel înalt al memoriei RAM
pentru a se ataşa fişierelor executabile sau documentelor de tip Microsoft
Office ce sunt deschise la un moment dat; aceşti viruşi pot controla întregul
sistem şi îl pot infecta oricând;
o viruşi non-rezidenţi – sunt activaţi numai la pornirea aplicaţiei gazdă;

5
9.2.2. Viermii informatici
Viermii informatici (worms) sunt programe cu efecte distructive ce utilizează comunicarea
între computere pentru a se răspândi. Viermii au trăsături comune cu viruşii, ei fiind capabili să se
multiplice, asemenea viruşilor, însă nu local, ci pe alte calculatoare, și folosesc reţelele de
calculatoare pentru a se răspândi pe alte sisteme. Spre deosebire de viruși însă, viermii nu pot
infecta un fişier - ei afectează sistemul.
Viermii se răspândesc automat în cadrul reţelelor de calculatoare după principiul „caută şi
distruge” (search and distroy). Ei caută calculatoare ce prezintă vulnerabilităţi, se instalează pe
sistemele respective, efectuează operaţiile distructive pentru care au fost programaţi, compromiţând
securitatea sistemelor respective, după care încearcă să se răspândească mai departe. Factorul de
multiplicare al viermilor este exponenţial.
Viermii se pot răspândi prin fişiere partajate în reţea, prin programele de mesagerie sau prin
programe de partajare de fişiere. Din acest punct de vedere se poate face următoarea clasificare a
viermilor:
 viermi de e-mail: se răspândesc prin fişierele infectate ataşate e-mail-urilor sau prin link-
urile către site-urile infectate;
 viermi de mesagerie instantanee: se răspândesc prin intermediul aplicaţiilor de
mesagerie instantanee prin trimiterea de link-uri către site-urile infectate pentru toţi
utilizatorii de pe lista de contacte locale;
 viermi de Internet: aceşti viermi scanează toate resursele de reţea disponibile utilizând
serviciile locale ale sistemului de operare şi caută calculatoarele vulnerabile din Internet
cu scopul de a se conecta la acestea şi a avea acces deplin la ele. O altă metodă este cea
de scanare a calculatoarelor vulnerabile din Internet ce nu au toate actualizările de
securitate făcute. Aceste actualizări pot fi trimise sub forma unor pachete de date ce
conţin viermele sau un utilitar ce va descărca şi instala viermele pe calculatorul
respectiv. De acolo viermele va căuta noi potenţiale gazde;
 viermi de IRC1: canalele de chat sunt ţinta principală a viermilor de IRC. Sunt trimise
tuturor utilizatorilor unui anumit canal fişiere infectate sau link-uri către site-uri
infectate cu viermi;
 viermi de fişiere partajate în reţea: se auto-copiază în directoarele partajate în reţea. sub
un nume inofensiv. Viermele va fi gata de transfer prin reţelele P2P şi apoi acţiunea de
infectare şi răspândire în reţea va continua.

1
IRC este un acronim pentru Internet Relay Chat (comunicare instantanee prin Internet), un serviciu de transmitere a
mesajelor în timp real (chat).
6
 Viermii informatici aduc o serie întreagă de prejudicii calculatorului infectat, cum ar fi
distrugerea unor fişiere importante din sistemul de operare, deteriorarea funcţionării unor servicii
critice pentru sistem sau degradarea performanţelor sistemului. Alte acţiuni distructive ale viermilor
pot fi de creare a unor breşe în securitatea sistemelor informatice, de deschidere a unor porturi
pentru a permite ulterior accesul creatorilor lor la sistemul informatic infectat, de ştergere a
informaţiilor de pe hard disk sau chiar de lansare a unor atacuri de refuz al serviciilor – DoS.
Viermii pot fi programaţi să anunţe autorul acestora despre sistemele compromise pentru a le putea
accesa şi a efectua operaţii distructive.
Rabbit – este un vierme care încearcă să consume toate resursele de computer pe măsură ce
se repetă. Realizează atacuri la nivelele rețea și aplicație.
Bomba cu ceas este un virus sau un vierme (are proprietăți comune cu ambele categorii) care
se activează la un moment dat. De obicei, atacă la nivelul aplicație.
Bomba logică este un virus sau un vierme care se activează atunci când sunt îndeplinite
condițiile stabilite. De obicei, atacă la nivelul aplicație.
Un cal troian (trojan horse) este un vierme sau un virus care poate trimite informații înapoi
la inițiator sau poate fi utilizat de către inițiator sau atacator pentru a obține controlul asupra unui
sistem vizat. Mulți cai troieni s-au răspândit prin atașarea la un program util. De obicei, atacă la
nivelul aplicație.

9.2.3. Programe spion

Un program spion sau spyware este un software care poate fi instalat ca parte a altui
program. Poate fi instalat și atunci când un utilizator vizitează un site web cu cod rău intenționat sau
atunci când un proces în curs de încărcare îl încarcă și îl instalează. Acest program este conceput
pentru a raporta autorului programului spion ceea ce face utilizatorul calculatorului.
Programele spion sunt o categorie de software rău intenționat, atașate de obicei la programe
gratuite (jocuri, programe de schimbat fișiere, programe de chat pornografic, etc.), care captează pe
ascuns date de marketing (prin analiza siturilor pe care le vizitează utilizatorul, de exemplu de
modă, pantofi, cluburi de tenis, ș.a.m.d.) și le folosesc apoi pentru a transmite utilizatorului reclame
corespunzătoare dar nesolicitate. Programele spion care nu extrag date de marketing, ci doar
transmit reclame se numesc adware.
Există programe spion care modifică modul de comportare a unor motoare de căutare
(Google, Yahoo, MSN, etc.), pentru a trimite utilizatorului contra voinței sale la situri (scumpe)
care plătesc comisioane producătorului programului spion.
Unele programe spion abuzează de calculatorul utilizatorului pentru a face pe ascuns calcul
distribuit pentru altcineva, iar din acest motiv programele spion încetinesc calculatorul. În general,

7
chiar după ștergerea programelor gratuite care au instalat programul spion, acesta rămâne în
continuare activ.
În afară de tipurile de programe malware descrise mai sus este cazul de menționat încă două:
rootkit-ul și keylogger-ul.
Rootkit este un instrument utilizat de o terță parte pentru a menține controlul asupra
funcționării unui computer fără a fi detectat. De obicei se utilizează după ce a fost obținut controlul
asupra sistemului țintă.
Keylogger-ul realizează o acțiune de urmărire a tastelor apăsate de la tastatură sau mouse cu
scopul de monitorizare și înregistrare a semnalelor trimise, astfel încât persoana care utilizează
tastatura sau mouse-ul nu are cunoștință că acțiunile sale sunt supravegheate. Există numeroase
metode de tip keylogging: variază de la abordări hardware și software la analize acustice.

9.2.4. Protecția de software-ul rău intenționat

În paralel cu dezvoltarea de malware sunt elaborate și soluții respective de protecție:
antivirus, antispam, antimalware. Unele soluții antivirus moderne, cu toate că conțin sintagma
„virus” în numele lor, își propun să ofere protecție împotriva tuturor tipurilor de malware. Soluțiile
de securitate complete își extind arealul de protecție pentru a include așa funcții precum filtrarea
spamului sau controlul parental. Unele instrumente antimalware lucrează alături de instrumentele de
protecție de bază pentru a oferi securitate suplimentară împotriva amenințărilor specifice, cum ar fi
ransomware2.
Cu toate acestea, în majoritatea cazurilor, prezența unei astfel de aplicații antimalware
instalate poate să nu fie suficientă pentru o protecție completă. Este necesar de aplicat măsuri
suplimentare, cum sunt măsurile organizatorice și metodele și mijloacele cele tehnice de protecție a
informației.
Metodele organizatorice vizează utilizatorul calculatorului și sunt menite să schimbe
comportamentul utilizatorului, iar metodele tehnice vizează schimbările în sistemul informatic și
constau în utilizarea unor măsuri suplimentare de securitate care extind și completează capabilitățile
programelor antivirus. În capitolele 10 și 11 se prezintă o descriere mai detaliată a unor mijloace de
protecție de software-ul rău intenționat, dar și de alte tipuri de amenințări.

9.3. Tipuri de atacuri informatice

Software-ul rău intenționat nu este singurul tip de amenințare intenționată. Mai există și alte
tipuri de amenințări ale rețelelor și sistemelor informatice care sunt generate de spoofing, scanning,
snooping, scavenging, tunneling, personificare, refuzul accesului, spam, ingineria socială, atacuri

2
Ransomware este un software rău intenționat care, după ce se instalează pe dispozitivul victimei (calculator,
smartphone), criptează datele victimei ținându-le „ostatice” sau șantajează victima, pe care o amenință că îi va publica
datele dacă aceasta nu plătește o „răscumpărare” (în engleză ransom).
8
ale hackerilor, atacuri fizice, furtul de date sau echipamente, vandalism etc. În continuare urmează o
scurtă descriere ale acestor amenințări.
- Spoofing:
 IP spoofing este o metodă de atac, dar poate fi folosită şi pentru a ascunde identitatea
atacatorului sau pentru a lansa atacuri. Prin acest atac, pachetele TCP/IP sunt
manipulate, falsificând adresa sursă. În acest mod atacatorul poate căpăta acces
atribuindu-şi o identitate (adresa de IP) care are autorizare să acceseze resursa atacată.
Datorită falsificării adresei sursă a pachetului IP, atacatorul nu poate stabili decât o
comunicaţie unidirecţională (presupunând că nu este prezent în reţeaua locală a maşinii
atacate). Acest lucru face protocolul TCP nesusceptibil pentru asemenea atacuri. Există
însă numeroase servicii UDP care pot fi exploatate cu acest tip de atac;
 mascarada (masquerade) este un atac efectuat la nivelul rețea în care un atacator va
încerca să acceseze un computer, pretinzând că are o identitate de utilizator autorizat,
cum ar fi un administrator de rețea.
- Scanarea (scanning):
 scanarea secvențială (sequential scanning) este încercarea de conectare la un sistem
prin încercarea succesivă a diferitelor combinații de parole și ID-uri de utilizator;
 scanarea cu dicționar (dicționar scanning) este încercarea de conectare la un sistem prin
încercarea secvențială a parolelor de utilizator, care pot fi cuvinte din dicționar precum
cuvântul „parola”.
- Snooping sau Sniffing:
 digital snoping – monitorizarea unei rețele private sau publice pentru parole sau date;
acesta este un atac la nivelul rețea;
 shoulder snooping este un atac fizic în care cineva încearcă să urmărească parolele
tastate sau să vizualizeze informații la care nu ar trebui să le aibă acces pe monitorul
unui calculator.
- Scavenging:
 dumpster diving este încercarea de a obține informații din coșul de gunoi în speranța că
va permite atacatorului să obțină acces sau informații privilegiate;
 browsing – scanarea unor cantități mari de date neprotejate pentru a obține informații
pentru un acces mai mare; browsing-ul este, de obicei, automat și prezența unui
utilizator autorizat on-line la ore neobișnuite ar fi o indicație a acestui atac.
- Tunneling – este un atac care utilizează funcții de sistem de nivel inferior, cum ar fi un kernel al
sistemului de operare sau un driver de dispozitiv, pentru a trece de sistemul de securitate;

9
 comportamentul ciudat al unui sistem, inclusiv defecțiuni ale dispozitivului sau o activitate
neobișnuită a hard disk-ului, poate indica acest tip de atac.
- Personificarea (personification) este un atac în care un adversar își asumă cu succes identitatea
uneia dintre părțile legitime într-un sistem sau într-un protocol de comunicații;
 atacul de tip replay repetă o sesiune de autentificare pentru a păcăli un calculator în
acordarea accesului;
 deturnarea sesiunii (session hijacking) - atacatorul monitorizează o sesiune între două
computere și injectează traficul făcându-l să pară că a venit de la unul dintre gazde;
legătura legală a calculatorului este abandonată, iar atacatorul continuă cu aceleași
privilegii pe care le avea și gazda legitimă; protecția constă în a folosi secvențe de
numere aleatorii, mai degrabă decât de cele previzibile, sau de a cripta datele folosite
pentru securizarea sesiunilor, deoarece atacatorul nu va putea să cripteze corect fără
cheia de criptare; fără cheia de criptare, comenzile decriptate venite de la atacator vor fi
doar „gunoi”;
 personoficarea unui router și trimiterea informațiilor de rutare false pentru a perturba
rețeaua sau a obține informații;
 otravirea DNS-ului (DNS cache poisoning) este o formă de hacking a rețelelor de
calculatoare în care datele numelui de domeniu stocate în memoria cache sunt
modificate de un atacator pentru a returna o adresă IP falsă, ceea ce face ca traficul să fie
direcționat spre computerul atacatorului (sau orice alt computer);
 otrăvirea ARP-ului (ARP poisoning) este o tehnică prin care un atacator trimite mesaje
de tip ARP către o rețea locală; în general, scopul este de a asocia adresa MAC a
atacatorului cu adresa IP a altei gazde, cum ar fi gateway-ul implicit, cauzând trimiterea
spre atacator a traficului destinat acelei adrese IP.
- Refuzul accesului (denial of service, DoS ):
 atacul SYN forțează computerul țintă, prin trimiterea unei succesiuni de solicitări SYN,
să aloce atât de multă memorie pentru conexiunile TCP, astfel încât să nu mai aibă
memorie pentru altceva;
 ping of death (sau pingul morții, în traducere liberă) este un tip de atac asupra unui PC
care implică trimiterea unui ping malițios către un sistem; un ping are, de obicei,
mărimea de 64 octeți (sau 84 dacă se ia în considerare și header-ul IP), iar majoritatea
sistemelor nu pot interpreta un ping mai mare decât mărimea maximă a pachetelor IP,
care este de 65.535 octeți; primirea unui ping de mărimea asta poate duce la blocarea
sistemului;

10
  atacul teardrop.c utilizează IP-ul pentru a crea probleme de reasamblare a pachetelor
astfel încât computerul țintă să se prăbușească; atacul folosește informația eronată a
antetului pachetului care indică fragmente de pachet suprapuse, astfel încât unele date
din unele pachete trebuie să suprascrie datele din alte pachete pentru a reasambla
pachetul; încercările de a reasambla aceste pachete cu date care se suprapun pot provoca
prăbușirea computerului dacă software-ul nu este pregătit să se ocupe de informațiile
eronate din antetul pachetului;
 atacul Land.c trimite un pachet TCP SYN folosind adresa IP a țintei ca expeditor și
receptor cauzând prăbușirea unor sisteme;
 atacul Smurf provoacă inundarea rețelelor cu trafic ICMP echo request (solicitare de
răspuns) difuzat pentru a provoca o congestie a rețelei; el trimite ping-ul ca un broadcast
cu o adresă de expeditor falsificată;
 atacul Frackle inundează rețelele cu trafic echo request pentru a provoca o congestie a
rețelei;
 atacul DDoS (DDoS attack) este un atac DoS distribuit în care traficul ce a inundat
victima provine din mai multe surse diferite; acest lucru face imposibilă stoparea
atacului pur și simplu prin blocarea unei singure surse;
 flooding - trimiterea mai multor solicitări valide către un sistem țintă pentru a-l
supraîncărca.
- Atacurile hackerilor:
 atacurile Directory Traversal încearcă să acceseze directoare care nu ar trebui să fie
accesate în încercarea de a rula un program pe un computer pe care utilizatorul nu ar
trebui să îl ruleze; de obicei, acest lucru se face pentru a rula fișierul cmd.exe pentru a
obține controlul unui server web sau al unui server de poștă electronică; acest atac
exploatează o lipsă de securitate, spre deosebire de exploatarea unei erori în cod;
 atacurile Cross-site Scripting sunt atacuri de tip injecție prin care script-urile rău-
intenționate sunt injectate în codul sursă al unui site web “trusted”, care în mod obișnuit
nu prezintă niciun pericol din punctul de vedere al securității; slăbiciunile care
facilitează aceste atacuri sunt destul de răspândite și apar oriunde există o aplicație web
care utilizează date de intrare de la un utilizator pentru generarea datelor de ieșire fără ca
acele informații să fie verificate sau codate; de obicei, atacatorul poate obține informații
stocate în cookie-uri folosind acest atac;
 atacul Man-In-The-Middle (MITM) constă în interpunerea pe traseu a atacatorului cu
plasarea logică de către acesta a propriului calculator într-un punct de intermediere între
alte două maşini; odată ajuns în această poziţie, atacatorul poate lansa o serie de atacuri

11
 foarte periculoase, din cauza posibilităţii de interceptare a mesajelor transmise între
maşinile ţintă, astfel, un atacator are posibilitatea să citească şi să modifice mesajele
schimbate între doi corespondenţi fără ca cele două părţi să sesizeze faptul că metoda de
comunicare între ei a fost compromisă; atacul începe de obicei cu ascultarea canalului şi
se termină cu încercarea atacatorului de a înlocui mesajul interceptat, de a extrage
informaţii utile din el, de a redirecţiona mesajul la unele resurse externe; fie că subiectul
A planifică transmiterea spre subiectul B a unei informaţii oarecare; subiectul C posedă
cunoştinţe despre structura şi proprietăţile metodei de transmitere a datelor, precum şi a
însuşi faptului transmiterii acelei informaţii pe care intenţionează să o intercepteze;
pentru săvârşirea atacului C se „prezintă” lui A drept B, iar lui B drept A; subiectul A
consideră eronat că transmite informaţia lui B şi o trimite lui C, care la rândul său
efectuează unele operaţii cu ea (o copiază sau o modifică în scopuri personale) şi o
transmite lui B. Ultimul consideră că informaţia a fost primită direct de la A;
 atacul cu forță brută (brute-force attack) sau o căutare exhaustivă de cheie sau parolă
reprezintă un atac criptanalitic, ce poate fi folosit teoretic pentru orice tip de date
codificate (cu excepția datelor criptate într-un mod teoretic sigur); un astfel de atac ar
putea fi folosit când nu se poate profita de alte vulnerabilități din sistemul de criptare
(dacă există vreuna) prin care sarcina să fie mai ușoară; această metodă constă în
verificarea sistematică a tuturor cheilor (parolelor) posibile, până când este găsită cea
corectă; în cel mai rău caz, această metodă presupune traversarea întregului spațiu de
căutare;
- Spamming sau spam este procesul de expediere a mesajelor electronice nesolicitate, care în cele
mai multe cazuri sunt mesaje comerciale (oferte, promoții, etc.) și intenția expeditorului este de
a beneficia de publicitate la costuri foarte mici; exista însă mesaje spam care pot aduce daune
serioase destinatarilor: virușii conținuți în mesajele electronice pot deteriora sistemul de calcul,
inclusiv calculatoarele din rețeaua locală, e-mail phishing-ul, mai exact mesajele care par
trimise de o organizație legitimă, cu scopul de a obține în mod fraudulos informații cu caracter
personal, cum ar fi parole sau detalii ale cardului de credit etc., oferirea de produse sau afaceri
fabuloase dar în realitate false, cu scopul a atrage în diverse capcane sau pentru a vizita anumite
site-uri, mesaje de amenințare, hărțuire, blocarea comunicării serverelor de e-mail etc.;
- Ingineria socială este o minciună de înaltă calitate pentru a obține informații utile de la cineva
sau pentru a obține acces neautorizat, bazându-se pe tehnici cum sunt:
 folosirea telefonului pentru a obține informații, atacatorul pretinzând a fi cineva care de
fapt nu este.

12
  obținerea accesului fizic pretinzând că este un membru al personalului sau o persoană de
serviciu;
 phishing - trimiterea unui e-mail pretinzând a fi o bancă, o agenție sau un grup de
asistență, care instruiește o persoană să facă ceva cum ar fi deschiderea și rularea unui
fișier;
- Atacuri fizice sunt atacurile împotriva entităților fizice (clădiri, persoane, computere) pentru a
deteriora, a perturba, a modifica, a compromite o entitate fizică; atacul se face folosind un
proces fizic sau chimic (mișcarea fizică a persoanei sau a dronei, energia cinetică a glonțului,
explozia, incendiul, etc.) și este diferit de atacul logic în spațiul cibernetic;
- Furtul de date sau de echipament;
- Vandalismul.

9.4. Vulnerabilități de securitate

Pentru a obține rezultatele pe care le dorește, un atacator trebuie să se folosească de o
vulnerabilitate a calculatorului, rețelei sau sistemului.

9.4.1. Noțiune de vulnerabilitate

Vulnerabilitatea (vulnerability) este o slăbiciune a sistemului care permite o acțiune
neautorizată. Acestea sunt erori care apar în diferite faze ale dezvoltării și exploatării sistemelor și
în funcție de aceasta pot fi clasificate în felul următor:
 vulnerabilitate de proiectare (design vulnerability) – o eroare care apare în prima fază a
unui produs, aceea de concepere, și pe care chiar o implementare ulterioară perfectă nu o
va înlătura;
 vulnerabilitate de implementare (implementation vulnerability) – apare ca urmare a fazei
de punere în practică a proiectului;
 vulnerabilitate de configurare (configuration vulnerability) – apare ca urmare a erorilor
făcute în configurarea sistemului sau rețelei, cum ar fi folosirea codurilor de acces sau
drepturilor de scriere cu parole.
Vulnerabilitatea este intersecția a trei elemente: o susceptibilitate sau defect de sistem,
accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul. Pentru a exploata o
vulnerabilitate, un atacator trebuie să aibă cel puțin un instrument sau o tehnică care să se poată
conecta la o slăbiciune a sistemului. În acest context, vulnerabilitatea este cunoscută și ca suprafața
de atac.

13
 O vulnerabilitate cu unul sau mai multe cazuri cunoscute de atacuri funcționale și complet
implementate este clasificată ca o vulnerabilitate exploatabilă - o vulnerabilitate pentru care există
un exploit3.
Fereastra de vulnerabilitate este perioada de timp de la momentul în care breșa de securitate
a fost creată sau manifestată în software-ul implementat, până la momentul în care accesul a fost
eliminat, o soluție de securitate a fost disponibilă/instalată sau atacatorul a fost dezactivat.
Problema de securitate (defect de securitate) este un concept mai restrâns: există
vulnerabilități care nu sunt legate de software: vulnerabilitățile hardware, site-ul, personalul sunt
exemple de vulnerabilități care nu sunt erori de securitate software.
Vulnerabilitățile pot fi prezente oriunde în sistemele informatice: de la parole și erori de
configurare la breșele în politicile de securitate și factorul uman. Mai jos este dată o clasificare în
acest sens a surselor de vulnerabilități.
 Parole:
o parole slabe sau necompletate;
o partajarea parolelor;
o scrierea parolelor sau stocarea lor fără precauție;
o pierderea parolei.
 Erori umane:
o Trap Door - dezvoltatorii de sisteme își scriu uneori „uși secrete” (back door) pentru
accesul la aplicațiile lor pe care le pot uita uneori deschise;
o eroare de utilizator - ștergerea sau modificarea accidentală a programelor sau datelor;
o erori de configurare în sisteme, echipamente, antimalware, firewall, browser,
protocoale, permisiuni nesigure pentru conturi etc.;
o neutilizarea protocoalelor de criptare sau utilizarea unora slabe la transmiterea de
date confidențiale sau sensibile;
o comiterea erorilor la introducerea sau modificarea datelor, ștergerea accidentală a
datelor;
o utilizarea software-ului neautorizat sau nesigur (peer to peer, IM, screensavere, etc);
o aruncarea, depozitarea necorespunzătoare sau folosirea mediilor de stocare sau a
computerelor portabile cu informații sensibile;
o permiterea serviciilor care nu sunt necesare să ruleze pe un sistem informatic;
o încredere excesiva în toate domeniile;

3
Exploit (din verbul „to exploit”, în sensul de a folosi ceva în avantaj propriu) este o secvență de cod, o succesiune de
date sau un set de comenzi, ce profită de o defecțiune sau de o vulnerabilitate în scopul de a determina un
comportament nedorit sau neprevazut al software-ului, hardware-ului de pe un calculator sau de pe alt dispozitiv
electronic (de obicei computerizat). Acest comportament include în mod uzual obținerea controlului asupra sistemului
de calcul sau permiterea escaladării de privilegii sau refuzului de servicii.
14
 o acțiuni inadecvate la logarea, monitorizarea sau detectarea amenințărilor la adresa
serverului sau a rețelei;
o datele de account ale foștilor angajați care au rămas active;
o acordare nepotrivită de privilegii;
o permiterea de directory traversal în sisteme, astfel încât un atacator să poată accesa
directoare care nu ar trebui să fie accesate;
o stocarea de informații sensibile în jurnale, cum ar fi parolele.
 Vulnerabilități software:
o buffer overflow – supraincarcarea memoriei cu date;
o vulnerabilitate la injectarea SQL, email, etc.;
o instabilitatea la mal-formed input;
o vulnerabilitate la Cross site scripting;
o vulnerabilitate la formatul string-ului;
o pierdere de memorie (memory leak);
o lipsa verificării autenticității cauzată de vulnerabilitatea atacului spoofing;
o generarea unor numere de sesiune insuficient de aleatorii care să împiedice
hijacking-ul;
o integer overflow;
o criptarea slabă la stocarea sau transmiterea datelor sensibile.
 Vulnerabilități de autentificare:
o mecanisme de autentificare slabe sau nefuncționale;
o criptarea slabă la autentificare.
 Vulnerabilități fizice:
o lăsarea în stare descuiată a birourilor, dulapurilor și a spațiilor de lucru, care ar trebui
să fie protejate;
o lipsa protecției cu parolă calculatorului;
 Politici:
o lipsa politicilor și procedurilor de securitate;
o aprobarea politicilor și procedurilor de securitate superficiale.

9.4.2. Managementul vulnerabilității

Managementul vulnerabilității este practica ciclică de identificare, clasificare, remediere și
atenuare a vulnerabilităților. Această practică se referă, în general, la vulnerabilitățile software din
sistemele de calcul.

15
 Pentru a putea înlătura vulnerabilitățile, ele trebuie la timp identificate. Pentru a facilita acest
lucru au fost create diverse instrumente, numite scanere de vulnerabilități, care pot oferi o bună
imagine de ansamblu a vulnerabilităților posibile care există în sistem.
Scanerele de vulnerabilități sunt aplicații hardware sau software care servesc pentru
diagnosticarea și monitorizarea calculatoarelor, rețelelor, aplicațiilor și sistemelor în scopul
detectării eventualelor probleme în sistemul de securitate, precum și pentru evaluarea și eliminarea
vulnerabilităților.
Scanerele de vulnerabilități permit realizarea testării diverselor aplicații din sistem pentru a
găsi eventualele „găuri” care pot fi exploatate de către intruși. Instrumentele de nivel inferior, cum
ar fi scanerul de porturi, pot fi, de asemenea, folosite pentru a identifica și analiza posibilele
aplicații și protocoale care rulează în sistem.
Pentru asigurarea securității și integrității sistemului este necesar ca acesta să fie în
permanență monitorizat, instalate actualizări, utilizate instrumente care ajută la contracararea
posibilelor atacuri. În toate sistemele de operare cele mai utilizate au fost găsite vulnerabilități,
inclusiv Microsoft Windows, Mac OS, diverse opțiuni pentru UNIX (inclusiv GNU/Linux) și
OpenVMS. Întrucât permanent apar noi vulnerabilități, singura modalitate de a reduce
probabilitatea de utilizare a acestora împotriva sistemului este vigilență constantă și utilizarea
versiunii actualizate ale software-ului.
Oricât de eficiente ar fi instrumentele care ne ajută în lupta cu vulnerabilitățile, ele nu pot
înlocui implicarea umană în evaluarea lor. Pentru a asigura o activitate continua și eficientă în
companie, este nevoie de o evaluare corectă a sistemelor IT, în doua cuvinte: de un audit IT.
Auditul de securitate IT este o soluție din ce în ce mai importanta pentru companiile și organizațiile
zilelor noastre. Auditul de securitate IT are ca scop determinarea tuturor vulnerabilităților
sistemului informatic. Rezultatul acestei acțiuni este evaluarea obiectivă a necesitaților sistemului
informatic al companiei precum și sugerarea unei soluții viabile pentru eliminarea vulnerabilităților
sale.

9.5. Întrebări și subiecte pentru aprofundarea cunoștințelor și lucrul individual

1. Faceți o clasificare a amenințărilor la adresa securității informațiilor.
2. Descrieți succint principalele grupe de surse de amenințări la adresa securității
informațiilor.
3. Realizați un studiu al resurselor Internet pentru a realiza o analiză comparativă a
celor mai frecvente amenințări la adresa securității informației pentru ultimii 5 ani.
4. Realizați un studiu al resurselor Internet pentru a realiza o analiză comparativă a
celor mai frecvent utilizate malware în ultimii 3 ani și a daunelor cauzate de astfel de
software.
5. Realizați un studiu utilizând resurse Internet pentru a realiza o analiză comparativă a
evoluției vulnerabilităților de securitate și a atacurilor pe parcursul ultimilor 5 ani.

16
17