Universitatea Tehnică "Gheorghe Asachi" din Iași

Facultatea de Automatică și Calculatoare

SECURITATEA REȚELELOR WIRELESS ȘI A

DISPOZITIVELOR MOBILE

Curs nr. 1

Rețele fără fir (wireless)

q Wireless Local Area Network (WLAN)
q Wireless Metropolitan Area Networks (WMAN)
q Wireless Personal Area Network (WPAN)
q Wireless Wide Area Network (WWAN)

SRWDM Curs nr. 1 – 2022 – 2023 2

Rețele fără fir (wireless)

q Wireless Local Area Network (WLAN)
q Furnizează acces internet în interiorul unei clădiri sau într-o zonă
exterioară limitată (aprox. 100 m)
q Rețelele domestice sunt simple

q Rețelele asociate unei firme mai complexe, au nevoie de AP

(Access Point) care sunt conectate cu fir la rețeaua principală a
instituției
q Standard IEEE 802.11x
q 802.11n (Wi-Fi 4 – 2009)
q 802.11ac (Wi - Fi 5 – 2014)
q 802.11ax (Wi - Fi 6 – 2019); 2,4GHz; 5 GHz; 6 GHz (6E)
q 802.11be (Wi – Fi 7 - 2024)

q Wi-Fi Alliance Apple, Cisco Systems, Intel, LG Electronics,

Dell Technologies, Microsoft, …
SRWDM Curs nr. 1 – 2022 – 2023 3

1
 Rețele wireless
q Wireless Metropolitan Area Networks (WMAN)
q Au fost instalate în orașe pentru a da acces la Internet din afara
rețelelor din casă sau birou (aprox. 5 Km)
q Acoperă o arie mai amare decât a unei rețele domestice sau de
birou, dar principiul este același
q Sunt necesare AP

q IEEE 802.16x (WIMAX – Worldwide Interoperability for

Microwave Access)
q IEEE 802.16-2017 (publicat în 02.03.2018)

SRWDM Curs nr. 1 – 2022 – 2023 4

Rețele wireless
q Wireless Personal Area Network (WPAN)
q Rețele pe o zonă foarte limitată (aprox. 10m)
q Bluetooth IEEE 802.15.1
q Lansat în 1999
q Ultima versiune Bluetooth 5.3 (2021)
q GNU GPL

q ZigBee (Low-rate WPAN) IEEE 802.15.4 – 2004

q ZigBee Alliance à Connectivity Standards Alliance (2021)
Infineon, NXP, Texas Instruments, Silicon Labs, Apple, …

SRWDM Curs nr. 1 – 2022 – 2023 5

Rețele wireless
q Wireless Wide Area Network (WWAN)
q Folosesc tehnologia celulară pentru transmiterea semnalului
(telefonia mobilă)
q 1G ...5G (sau chiar 6G)

SRWDM Curs nr. 1 – 2022 – 2023 6

2
 Dispozitive mobile
q Telefoane mobile
q Tablete

q Wearable

q Hearable

q Dispozitive medicale
q…

SRWDM Curs nr. 1 – 2022 – 2023 7

https://www.statista.com
SRWDM Curs nr. 1 – 2022 – 2023 8

SRWDM Curs nr. 1 – 2022 – 2023 9

3
 SRWDM Curs nr. 1 – 2022 – 2023 10

10

Businesses Suffered 50% More Cyberattack Attempts per Week

in 2021

https://www.darkreading.com/attacks-breaches/corporate-networks-saw-50-more-attacks-
per-week-in-2021-
?utm_campaign=meetedgar&utm_medium=social&utm_source=meetedgar.com
SRWDM Curs nr. 1 – 2022 – 2023 11

11

q Cybersecurity threatscape: Q2 2022

q https://www.ptsecurity.com/ww-
en/analytics/cybersecurity-threatscape-2022-q2/

SRWDM Curs nr. 1 – 2022 – 2023 12

12

4
 q https://www.threatfabric.com/blogs/h1-2022-mobile-
threat-landscape.html

q https://www.threatfabric.com/blogs/octo-new-odf-
banking-trojan.html

SRWDM Curs nr. 1 – 2022 – 2023 13

13

Atac cibernetic (CyberAttack)

q www.cisco.com – un atac cibernetic este o încercare
răuvoitoare (malițioasă) și deliberată realizată de o
persoană sau organizație de a sparge sistemul informatic al
unei alte persoane sau organizații. De obicei, atacatorul
caută anumite beneficii din accesarea rețelei victimei.
q Atac:
q Pasiv
q Activ

SRWDM Curs nr. 1 – 2022 – 2023 14

14

Cele mai comune atacuri cibernetice

q Malware
q Termen utilizat pentru a descrie un produs software răuvoitor
(spyware, ransomware, viruși și viermi). Acet tip de aplicație
pătrunde într-o rețea printr-o vulnerabilitate, de obicei când un
utilizator accesează un link periculos.
q Blochează accesul la componentele cheie ale rețelei (sau sistemului) –
ransomware
q Instalează malware sau alt tip de software cu potențial periculos
q Obține informații și transmite date din sistem (spyware)
q Corupe anumite componente și face sistemul inoperabil

SRWDM Curs nr. 1 – 2022 – 2023 15

15

5
 Cele mai comune atacuri cibernetice
q Phishing
q Practica de a trimite comunicații frauduloase care par să vină
dintr-o sursă de încredere, de obicei prin email. Scopul este de a
fura date sensibile (informații de carduri de debit/credit,
informații de login sau de a instala malware pe mașina victimei.
q Numărul atacurilor prin phishing este în creștere

SRWDM Curs nr. 1 – 2022 – 2023 16

16

Cele mai comune atacuri cibernetice

q Man-in-the-middle (MitM) sau eavesdropping (trasul cu
urechea) – atacatorul se interpune într-o comunicare între
două părți.
q Se pot fura date și informații
q Sunt două puncte comune atacurilor de acest tip:
q În rețelele publice WiFi, nesecurizate, atacatorii se pot interpune între
dispozitivul vizitatorului și rețea. Fără să știe vizitatorul trece toate
informațiile prin tacator.
q Când un malware a spart un dispozitiv, un atacator poate instala aplicații
care să proceseze toate informațiile victimei.

SRWDM Curs nr. 1 – 2022 – 2023 17

17

Cele mai comune atacuri cibernetice

q Denial-of-Service (DoS)
q Distributed-Denial-of-Service
(DDoS) – se folosesc mai
multe dispozitive compromise pentru a realiza atacul
q Botnet – rețea de dispozitive infectate. Folosite în DDoS.

SRWDM Curs nr. 1 – 2022 – 2023 18

18

6
 Cele mai comune atacuri cibernetice
q SQL Injection
q Atacatorul inserează cod malițios intr-un server care utilizează
SQL și forțează serverul să furnizeze informații pe care în mod
normal nu le-ar furniza. Un atacator poate să realizeze o injectare
SQL prin trimiterea de cod malițios prin inserarea unui căutări
într-un site web vulnerabil. website vulnerabil

SRWDM Curs nr. 1 – 2022 – 2023 19

19

Cele mai comune atacuri cibernetice

q Zero-day exploit
q Se folosește de anunțul găsirii unei vulnerabilități
q Acționează în fereastra de timp dintre anunțul vulnerabilității și
implementarea soluției de rezolvare.
q https://www.talosintelligence.com/vulnerability_reports

SRWDM Curs nr. 1 – 2022 – 2023 20

20

Cele mai comune atacuri cibernetice

q DNS Tunneling
q Utilizează protocolul DNS pentru a comunica trafic non-DNS pe
portul 53. Se trimite trafic folosind protocoale de tip HTTP sau
alte tipuri de protocoale.
q https://learn-umbrella.cisco.com/solution-briefs/dns-tunneling

SRWDM Curs nr. 1 – 2022 – 2023 21

21

7
 Vectori de atac
q Un vector de atac este o cale sau un mijloc prin care un
hacker poate avea acces la un calculator sau la un server
de rețea pentru a livra o anumită sarcină sau a determina
un rezultat rău intenționat.
q Vectoriide atac sunt căi sau metode de a intra într-un
sistem de calcul, de obicei pentru scopuri nefaste.
q Ei folosesc avantajul cunoașterii unor puncte slabe pentru
a intra în sistem.
q Mulți vectori de atac se bazează pe elementul uman din
sistem pentru că de cele mai multe ori este veriga cea mai
slabă.

SRWDM Curs nr. 1 – 2022 – 2023 22

22

q Nu trebuie făcută confuzie între vectori de atac și

încărcătura (payload) pe care ei o poartă:
q vectori de atac: email malițios, fișiere atașate, pagini web, fișiere
descărcate, înșelăciune (inginerie socială);
q încărcătura malițioasă: viruși, spyware, troiani, executabile/fișiere
de scripting malițioase
q Exemplu XSS:
q vectorul de atac cu o încărcătură constând dintr-un script (de
asemenea codat) pentru a captura informații sensibile (de ex.
cookie stocat în browser):
q http://server/cgibin/testcgi.exe?<SCRIPT>alert(”Cookie”+docume
nt.cookie)</SCRIPT>

SRWDM Curs nr. 1 – 2022 – 2023 23

23

Suprafață de atac
q Mulțimea punctelor de pe suprafața de graniță a unui
sistem, a unui element din sistem sau un mediu unde un
atacator poate încerca să intre, să determine un efect sau
să extragă date.
q Include toate vulnerabilitățile și puncte de contact
(endpoint) care pot fi exploatate pentru a iniția un atac de
securitate.
q Poate fi și întreaga arie a unei organizații sau sistem care
este susceptibil de a fi atacat.
q https://csrc.nist.gov/glossary/term/attack_surface

q Pot fi fizice sau digitale

SRWDM Curs nr. 1 – 2022 – 2023 24

24

8
 Suprafață de atac
q Digitale:
aplicații, code, porturi, servere, site-uri web ca și
puncte neautorizate de acces.
q Fizice:
toate dispozitivele conectate: sisteme desktop,
laptop, dispozitive mobile și porturi USB

SRWDM Curs nr. 1 – 2022 – 2023 25

25

Suprafață de atac

https://www.balbix.com/insights/attack-vectors-and-breach-methods/

SRWDM Curs nr. 1 – 2022 – 2023 26

26

OWASP
q Open Web Application Security Project (OWASP)
q OWASP Mobile Application Security
q Mobile Security Testing Guide (MASTG)
q Mobile APP Security Requirements and Verification (MASVS)
q Mobile App Security Checklist

q https://owasp.org/www-project-mobile-app-security/
q https://mas.owasp.org – site-ul oficial

SRWDM Curs nr. 1 – 2022 – 2023 27

27

9
 Top 10 vulnerabilități pentru mobile (OWASP - 2016)
M1 Folosirea incorectă a platformei

M2 Stocarea nesecurizată a datelor

M3 Comunicații nesigure

M4 Autentificare nesigură

M5 Criptare slabă

M6 Autorizare nesigură

M7 Calitatea slabă a codului de pe client

M8 Manipularea (falsificarea) codului

M9 Ingineria inversă

M10 Funcționalități străine (ascunse)

https://owasp.org/www-project-mobile-top-10/2016-risks/

SRWDM Curs nr. 1 – 2022 – 2023 28

28

M1 – Folosirea incorectă a platformei

q Fiecare dintre platformele mobile (Android sau iOS) au
anumite recomandări pentru dezvoltarea de aplicații care
să asigure securitatea aplicațiilor
q Aplicațiile scrise pot, neintenționat, să nu urmeze aceste
indicații
q Se referă la utilizarea incorectă a oricărei caracteristici a
sistemului de operare sau eșecul de a încorpora controale
de securitate caracteristice platformei:
q utilizarea incorectă a iOS Touch ID -> accesul neautorizat la
periferic
q folosirea incorectă a iOS Keychain prin stocarea cheilor de sesiune
în storage-ul local al aplicației
SRWDM Curs nr. 1 – 2022 – 2023 29

29

M1 – Folosirea incorectă a platformei

q cererea de permisiuni incorecte sau excesive asupra platformei
q intențiile Android (folosite pentru a cere o acțiune asupra unei
componente aparținând altei aplicații) care sunt marcate public ar
putea să dezvăluie informații sensibile sau să permită execuții
neautorizate
q Măsuri de remediere:
q restricționarea comunicațiilor între aplicații, acces limitat,
permisiuni restrictive
q aplicarea celei mai restrictive calse de protecție pentru iOS
Keychain și adoptarea celor mai bune practici pentru a evita
implementarea slabă a oricărui control

SRWDM Curs nr. 1 – 2022 – 2023 30

30

10
 M2 – Stocarea nesigură a datelor
q Dispozitivul mobil poate fi pierdut sau furat și astfel ajunge
în mâinile unui adversar. Sau un malware, care acționează
în interesul hackerului, poate să fie executat pe dispozitiv și
atacatorul poate să exploateze vulnerabilitățile care dau
acces la informații personale sau la date sensibile.
q Nu este posibil să avem aplicații care nu stochează date,
este important să stocăm date într-un loc în care nu vor fi
accesibile unei alte aplicații sau persoane.

SRWDM Curs nr. 1 – 2022 – 2023 31

31

M2 – Stocarea nesigură a datelor

q Jailbreak-ulsau rootarea unui dispozitiv mobil este
suficientă pentru a evita protecția prin criptare, iar
echipele de dezvoltatori nu trebuie să presupună niciodată
că atacatorii nu vor avea acces la fișierele sistemului dacă
acestea sunt ușor accesibile

SRWDM Curs nr. 1 – 2022 – 2023 32

32

M2 – Stocarea nesigură a datelor

q Măsuri de remediere
q o analiză foarte bună a modelului de atac:
q unde este folosită efectiv criptarea și cum sunt protejate cheile de criptare

q implementarea unor tehnologii pentru a îngreuna manipularea

codului, folosirea protecției la buffer overflow
q evitarea stocării datelor acolo unde este posibil
q folosirea unei verificări riguroase pentru autentificare și
autorizare

SRWDM Curs nr. 1 – 2022 – 2023 33

33

11
 M3 – Comunicații nesigure
q Dacă datele sunt transmise necriptat, oricine
monitorizează rețeaua poate prelua și citi toate
informațiile care sunt transmise în rețea
q aplicațiile mobile transferă date folosind un model client-
server și ele trebuie transmise într-un mod sigur prin
rețeaua providerului și prin internet. Traficul poate fi
interceptat de proxy, celule de comunicații sau un adversar
a pătruns în rețeaua Wi-FI sau a instalat malware pe
dispozitiv.

SRWDM Curs nr. 1 – 2022 – 2023 34

34

M3 – comunicații nesigure
q Măsuri de remediere
q folosiți certificate SSL/TSL de la autorități de certificare autorizate
pentru a securiza toate canalele de comunicații
q alertați utilizatorii dacă un certificat SSL/TSL invalid este detectat
sau dacă procesul de verificare al certificatului a eșuat

SRWDM Curs nr. 1 – 2022 – 2023 35

35

M4 – Autentificare nesigură
q Înainte de a permite accesul, aplicațiile mobile trebuie să
verifice identitatea utilizatorului.
q Ocolirea autentificării se face prin valorificarea
vulnerabilităților existente, cum sunt validarea
necorespunzătoare a solicitărilor de servicii efectuate de
serverul de backend al aplicației mobile.
q Aplicațiilemobile trebuie să verifice și să mențină
identitatea utilizatorului, în special în timpul transmiterii
de date confidențiale, cum ar fi informațiile financiare

SRWDM Curs nr. 1 – 2022 – 2023 36

36

12
 M4 – Autentificare nesigură
q Punctele slabe ale mecanismului de autentificare pentru
aplicațiile mobile pot fi exploatate de un atacator.
q Valorificarea acestor puncte slabe le permite să ocolească
cerințele privind parola sau să obțină permisiuni
suplimentare care duc la furtul de date și alte daune.

SRWDM Curs nr. 1 – 2022 – 2023 37

37

M4 – Autentificare nesigură
q Remediere:
q Evitați metodele locale de autentificare. În schimb, transferați
această responsabilitate serverului și descărcați datele aplicației
numai după o autentificare cu succes.
q Evitați utilizarea metodelor de autentificare vulnerabile (cum ar fi
identitatea dispozitivului), nu stocați parolele la nivel local,
implementați autentificarea cu mai mulți factori (MFA), nu
permiteți utilizarea codurilor PIN din patru cifre ca parole acolo
unde este posibil, etc

SRWDM Curs nr. 1 – 2022 – 2023 38

38

M5 – Criptare slabă
q Suntdouă situații în care criptarea unui sistem poate fi
compromisă pentru a expune date sensibile:
q algoritmul folosit la criptare și decriptare poate fi slab
q procesul de criptare în sine are vulnerabilități de la implementare
q Spargereacriptării în aplicațiile mobile poate fi rezultatul
mai multor factori:
q ocolirea codului încorporat al algoritmilor de criptare
q gestiunea defectuoasă a cheilor proprii digitale
q folosirea unor protocoale de criptare personalizate sau depășite
q un control criptografic insuficient poate conduce la accesul
neautorizat la date sensibile (informații personale) de pe
dispozitiv
SRWDM Curs nr. 1 – 2022 – 2023 39

39

13
 M5 – Criptare slabă
q Remedii:
q aplicarea unor standarde puternice de criptare (recomandate de
NIST – National Institute of Standards and Technology)
q evitarea stocării oricăror date sensibile pe dispozitiv ori de câte
ori este posibil

SRWDM Curs nr. 1 – 2022 – 2023 40

40

M6 – Autorizare nesigură
q Sunt diferite tipuri de utilizatori:
q obișnuiți
q cei care au permisiuni și privilegii în plus (utilizatorii de tip admin)
q Schemele slabe de autorizare nu reușesc să verifice nu cine
este utilizatorul, ci dacă utilizatorul poate să acceseze
resursele pe care le solicită.
q Nerespectarea identității, precum și permisiunile acordate
utilizatorilor, le permit hackerilor să se conecteze ca
utilizatori legitimi și să efectueze atacuri de escaladare a
privilegiilor.

SRWDM Curs nr. 1 – 2022 – 2023 41

41

M6 – Autorizare nesigură
q Impactul autorizării nesigure este similar cu autentificarea
nesigură.
q Ambele pot conduce la furtul de date, să aibă daune
asupra reputației și chiar la amenzi și penalități pentru
neconformitate.
q Remediere
q Asigurați-vă că, pentru fiecare cerere, procesele backend verifică
dacă identificatorii de intrare asociați cu o identitate se potrivesc
și aparțin de fapt identității.
q Validați rolurile și permisiunile unui utilizator autentificat folosind
informațiile de pe sistemele backend și nu pe baza informațiilor
furnizate de dispozitivul mobil.

SRWDM Curs nr. 1 – 2022 – 2023 42

42

14
 M7 - Calitatea slabă a codului de pe client
q Un atacator poate transmite intrări create apelurilor de
funcții efectuate în cadrul unei aplicații în încercarea de a
le executa sau de a observa comportamentul aplicației.
q Poate duce la degradarea performanței, utilizarea crescută
a memoriei etc.
q Greșelile
din cod trebuie remediate localizat pe dispozitiv,
deoarece apar pe clientul mobil și sunt diferite de erorile
de codare de pe partea serverului.

SRWDM Curs nr. 1 – 2022 – 2023 43

43

M7 - Calitatea slabă a codului de pe client

q Ar putea exista greșeli la nivel de cod în aplicațiile mobile
care pot duce la probleme precum:
q vulnerabilități în formatul șirurilor de caractere
q depășirea bufferului (buffer overflow)
q integrarea cu biblioteci nesigure 3rd party
q execuția de la distanță a codului

SRWDM Curs nr. 1 – 2022 – 2023 44

44

M7 - Calitatea slabă a codului de pe client

q Mai multe aplicații se bazează pe biblioteci terțe pentru a-
și construi aplicațiile, care conțin adesea erori și nu sunt
bine testate.
q Aceste probleme sunt în afara controlului dezvoltatorului
aplicației, deoarece nu acesta deține codul.
q De cele mai multe ori, cu erori la nivel de cod, soluția este
să rescrieți o parte din codul care rulează pe dispozitiv.

SRWDM Curs nr. 1 – 2022 – 2023 45

45

15
 M7 - Calitatea slabă a codului de pe client
q problemele legate de calitatea proastă a codului poate
duce la execuția codului de la distanță și la alte
vulnerabilități
q Remediere
q trebuie testate: depășirea bufferului (buffer overflow), pierderile
de spațiu de memorie (memory leaks) folosind unelte
automatizate
q bazați-vă pe revizuirea codului sursă și scrieți cod ușor de înțeles
și bine documentat.
q trebuie utilizat un model consistent de codare în întreaga
organizație (firmă)

SRWDM Curs nr. 1 – 2022 – 2023 46

46

M8 - Manipularea (falsificarea) codului

q Magazinele de aplicații conțin uneori versiuni modificate
ale aplicațiilor mobile.
q Un exemplu de aplicație modificată este cazul în care un
hacker modifică fișierul binar al aplicației pentru a include
conținut rău intenționat, instalează un backdoor etc.
q Atacatorii pot semna din nou aceste aplicații contrafăcute
și pot publica versiunea modificată în magazine de aplicații
terță parte.
q De asemenea, le pot livra unei victime direct printr-un atac
de phishing pentru a-i păcăli să descarce aplicația.

SRWDM Curs nr. 1 – 2022 – 2023 47

47

M8 - Manipularea (falsificarea) codului

q Manipularea codului poate conduce la pierdei financiare,
furt de identitate, de reputație etc
q Remediere
q aplicația trebuie să poată să identifice orice violare a integrității
codului (dacă a fost adăugat cod suplimentar sau a fost modificat
codul inițial) și să reacționeze adecvat în timpul rulării.
q utilizarea a unui așa zis certificat de semnare a codului ar putea
ajuta pentru a semnaliza utilizatorilor modificarea codului
q implementarea tehnicilor anti-manipulare a codului care previne
ca aplicațiile să fie executate prin implementarea unor verificări
de checksum, semnătură digitală, code hardening și a altor
metode de validare.

SRWDM Curs nr. 1 – 2022 – 2023 48

48

16
 M9 – Inginerie inversă
q Atacatorii
pot folosi ingineria inversă pe aplicație pentru a
o decompila și a realiza analiza anumitor porțiuni de cod.
q Acest lucru este periculos pentru că atacatorii poate
înțelege, inspecta și modifica codul pentru a include
funcționalități dăunătoare sau pentru a transmite reclamă
nedorită.
qO dată ce ei au înțeles cum lucrează aplicația, ei pot să o
modifice folosind diverse unelte ca IDA Pro, Hopper și alte
aplicații care realizează inspecția codului executabil.
q După ce au făcut ca aplicația să se comporte într-un anume
mod, ei pot recompila și rula aplicația.

SRWDM Curs nr. 1 – 2022 – 2023 49

49

M9 – Inginerie inversă
q Pentru a preveni ingineria inversă, atacatorul trebuie să nu
poată să descopere codul folosind unelte ca IDA Pro sau
Hopper.

SRWDM Curs nr. 1 – 2022 – 2023 50

50

M10 – Funcționalități străine (ascunse)

q Câteodată, dezvoltatorii pot să lase portițe (backdoor) sau
funcționalități suplimentare în aplicațiile mobile care nu
sunt accesibile utilizatorului prin interfață.
q Aceste produse pot fi lansate în mediul de producție cu o
funcție care nu se intenționează să fie făcută disponibilă,
creând în felul acesta riscuri de securitate.
q Aceste puncte slabe pot fi de obicei exploatate de hackeri
din sistemele lor direct, fără a necesita participarea
utilizatorilor obișnuiți.

SRWDM Curs nr. 1 – 2022 – 2023 51

51

17
 M10 – Funcționalități străine (ascunse)
q Aceștia pot examina fișierele de configurare, pot analiza
fișierul binar etc. pentru a descoperi funcționalități din
sistemul back-end pe care infractorii cibernetici le pot
folosi pentru a efectua un atac.

SRWDM Curs nr. 1 – 2022 – 2023 52

52

M10 – Funcționalități străine (ascunse)

q Una dintre cele mai eficiente modalități de a preveni
aceste tipuri de vulnerabilități ale aplicațiilor mobile este
să efectuați revizuirea manuală a codului securizat.
q Acest lucru vă permite să:
q Examinați setările de configurare ale aplicației mobile pentru a
detecta orice comutatoare ascunse.
q Asigurați-vă că log-urile nu conțin declarații extrem de descriptive
despre sistemele backend.

SRWDM Curs nr. 1 – 2022 – 2023 53

53

18