12

Securitate cibernetică
Asist. univ. drd. Tiberiu-Marian Georgescu

Introducere
Securitatea cibernetică este un domeniu relativ nou care a devenit deosebit
de important odată cu dezvoltarea internetului. Sigur că virușii, precum și alte
forme de cod malițios, au existat și înainte de internet. Totuși, în lipsa unei rețele
care să creeze conexiuni între calculatoare, singurul mod prin care un atacator
putea compromite un sistem informatic era prin accesul în mod fizic la calculatorul
gazdă, lucru destul de dificil. Utilizarea internetului la scară largă a schimbat
radical regulile acestui domeniu, întrucât un atacator poate compromite un sistem
informatic de la distanță.
Evoluția tehnologiei informației și a comunicării a adus numeroase
beneficii societății moderne, având un impact major în toate sectoarele de
activitate. Atât oamenii, ca agenți economico-sociali individuali, cât și instituțiile
depind în prezent de sistemele informatice și de utilizarea informației prin
intermediul acestora. Acest cadru a generat sporirea și diversificarea amenințărilor
cibernetice. Mai mult decât atât, în prezent, securitatea cibernetică reprezintă un
domeniu de interes național. În contextul în care conflictele secolului al XXI-lea
dintre națiuni sunt adesea financiare și mai rar militare, spațiul cibernetic este
considerat al cincelea teren pe care se poate desfășura un război după sol, apă, aer
și spațiu. (Amenințări cibernetice globale și naționale, 2014)
Abraham Maslow, în celebra sa piramidă de ierahizare a nevoilor unui
individ, consideră securitatea și siguranța drept nevoi instinctive, fiind precedate ca
intensitate doar de cele primare. Pericolele societății contemporane s-au
diversificat, ,,iar odată cu răspândirea în masă a sistemelor informatice și utilizarea
internetului la scară largă cu toții suntem posibile ținte ale atacatorilor aflați
oriunde pe glob. Proprietatea privată a căpătat și o dimensiune virtuală pe care
majoritatea utilizatorilor nu este pregătită să o protejeze.” (Georgescu, 2015)
,,Securitatea cibernetică reprezintă starea de normalitate rezultată în urma
aplicării unui ansamblu de măsuri (proactive și reactive) prin care se asigură
confidențialitatea, integritatea, disponibilitatea, autenticitatea și nonrepudierea
informațiilor în format electronic, a resurselor și serviciilor publice sau private,
din spațiul cibernetic.” (Guvernul României)
Securitatea cibernetică are ca scop protecția bunurilor unui sistem
informatic, precum și a sistemului de calculatoare în sine. Aceste bunuri sunt
de trei tipuri:
• Hardware – se referă la componentele unui calculator, dispozitive mobile,
infrastructuri de internet ș.a.;
• Software – precum sisteme de operare, sisteme de gestiune, aplicații etc.;
• Date – fișiere, baze de date, emailuri etc. (Ivan, și alții, 2009) (Pfleeger, et al., 2012)
2 Bazele informaticii economice

Cadrul legislativ și tipuri de hackeri

Pentru a putea asigura securitatea bunurilor din mediul virtual este
necesară existența și aplicarea unor seturi de legi bine formulate și interconectate.
Fiind vorba de niște provocări noi, cadrul legislativ este într-un proces de formare,
în prezent având loc numeroase dezbateri de interes național cu privire la
Legea securității cibernetice. Principalele controverse sunt legate de accesul
Serviciului Român de Informații (SRI), prin intermediul organelor abilitate, la
sistemele informatice și datele utilizatorilor fără mandat. Pe de o parte, Curtea
Constituțională a României apreciază această acțiune drept un abuz asupra
dreptului fundamental la viață privată (Senatul României, 2014). Pe de altă parte,
poziția SRI este fermă, considerând că prin natura lor atacurile cibernetice pot fi
realizate de la distanță, prin urmare orice utilizator de internet este un posibil
suspect și practic, în lipsa acestei legi, pentru a realiza o anchetă ar fi nevoiți să
obțină câte un mandat pentru fiecare utilizator. Mai mult decât atât, SRI afirmă că
nu încalcă drepturile fundamentale ale cetățenilor întrucât ei verifică datele și
sistemele informatice unei adrese de internet (IP) și nu ale unei persoane. Ulterior,
în situația în care se constată suspiciuni cu privire la bunurile sau datele
corespunzătoare unei adrese, se solicită un mandat pentru a se afla proprietarul
acesteia. (Interviu Panel II, 2015)

12.2.1 Legislația în vigoare

În general, infracțiunile din mediul cibernetic sunt tratate prin analogie
cu cele din mediul fizic, iar contravențiile sunt similare (Georgescu, 2015). De
exemplu, ,,violarea secretului corespondeței prin deschiderea, sustragerea,
distrugerea sau reținerea, fără drept, a unei corespondențe adresate altuia, precum
și divulgarea fără drept a conținutului unei asemenea corespondențe, chiar atunci
când aceasta a fost trimisă deschisă ori a fost deschisă din greșeală, se pedepsesc
cu închisoare de la trei luni la un an sau cu amendă” (Parlamentul României), lege
ce se aplică atât pentru un email, cât și pentru o scrisoare fizică.
Există o înclinație a oamenilor spre a săvârși fapte ilegale în mediul
cibernetic mult mai mare decât în cel fizic. Aceasta poate fi pusă pe seama
anonimității (parțiale) pe care o oferă mediul virtual, precum și pe seama
dificultăților de a dovedi în justiție cine este făptașul. Anumite practici au devenit
deja obiceiuri firești, în ciuda faptului că sunt ilegale. Spre exemplu, utilizarea
aplicațiilor software de tip torrent, prin care utilizatorii descarcă, dar și pun la
dispoziție materiale ale căror drepturi de autor nu le posedă, reprezintă una dintre
practicile des întâlnite în prezent.
Este important de menționat că, în prezent, ,,importul unei opere făcut de
o persoană fizică, fără scopuri comerciale” (Parlamentul României) nu este
sancționat din punct de vedere legal. În schimb, ,,punerea la dispoziția publicului,
inclusiv prin internet sau prin alte rețele de calculatoare, fără consimțământul
titularului de drept, a operelor sau a produselor purtătoare de drepturi conexe ori de
drepturi sui-generis ale fabricanților de baze de date ori a copiilor acestora,
indiferent de support, astfel încât publicul să le poată accesa în orice loc sau în
Securitate cibernetică 3

orice moment ales în mod individual” (Parlamentul României) este considerată

infracțiune, fiind pedepsită cu amendă sau închisoare de la unu la patru ani în
funcție de gravitatea faptei.

12.2.2 Accesul neautorizat la un sistem informatic ‒ pedepse

,,Una dintre cele mai răspândite infracțiuni în mediul cibernetic este
accesul neautorizat la sisteme informatice. Conform art. 360 al Codului Penal în
vigoare acestea se pedepsesc astfel:
1. Pentru accesul neautorizat la sistemul informatic fără un alt scop inculpatul va
primi o amendă sau o pedeapsă de la trei luni la trei ani.
2. Fapta prevăzută la punctul 1, dar săvârşită în scopul obţinerii de date
informatice, se pedepseşte cu închisoarea de la șase luni la cinci ani.
3. Dacă fapta prevăzută la punctul 1 a fost săvârşită cu privire la un sistem
informatic la care, prin intermediul unor proceduri, dispozitive sau programe
specializate, accesul este restricţionat sau interzis pentru anumite categorii de
utilizatori, pedeapsa este închisoarea de la doi la șapte ani.” (Georgescu, 2015)
(Parlamentul României)

12.2.3 Tipuri de hackeri

Deși opinia publică consideră că termenul de hacker reprezintă o ,,persoană
care încearcă să obțină, în mod ilegal, controlul unui sistem de securitate, computer
sau rețea, cu scopul de a avea acces la informații confidențiale sau avantaje
materiale” (Academia Română ‒ Institutul de Lingvistică, ,,Iorgu Iordan", 2009),
în rândul celor care lucrează în domeniul securității cibernetice un hacker este o
persoană care studiază și analizează în detaliu sistemele informatice și pe baza
diverselor tehnici caută și exploatează vulnerabilități ale acestora. Pratic, accesarea
unui sistem prin metode neconvenționale, altele decât cele utilizate în mod normal
poartă numele de hacking.
În funcție de intențiile și caracterul acțiunilor unui hacker ‒ legal sau ilegal,
aceștia se clasifică în trei categorii:

Hacker etic sau hacker cu pălărie albă

Hackerul etic reprezintă o persoană care accesează un sistem informatic
în mod legal, cu acordul proprietarului, adesea pentru a testa și îmbunătăți
securitatea acestuia. Aceste acțiuni sunt în general realizate de departamentul IT
al unei companii sau de firme specializate pe servicii de securitate.

Hacker cu pălărie neagră

La polul opus hackerului cu pălărie albă, se află cel cu pălărie neagră care
întreprinde activități prin intermediul cărora compromite securitatea unui sistem
informatic în mod ilegal, fără acordul proprietarului, în scopul de a obține diverse
avantaje. Acesta poartă și numele de cracker.

Hacker cu pălărie gri

4 Bazele informaticii economice

Există și o a treia categorie – hackerul cu pălărie gri. Spre deosebire de cel

cu pălărie neagră, acest tip de hacker pătrunde într-un sistem informatic în scopuri
educative, din curiozitate sau pentru îmbunătățirea acestuia și nu pentru a obține
alte avantaje. Adesea acest tip de hacker anunță proprietarul de sistem cu privire la
defecțiunile identificate, în scopul remedierii lor. Deși acțiunile hackerului cu
pălărie gri sunt considerate fie ilegale, fie la limita legii, în general ele sunt trecute
cu vederea. (Pfleeger, et al., 2012)

Politici, standarde, proceduri și ghiduri de bune practici

Procesul de implementare și menținere a securității cibernetice într-o
organizație se realizează prin intermediul unor politici, standarde, proceduri și
ghiduri de bune practici. Marea majoritate a atacurilor cibernetice pornesc de la
greșeli ale oamenilor care utileazează sistemele informatice.
Politicile oferă oamenilor dintr-o organizație îndrumare cu privire la
așteptările pe care organizația le are de la aceștia. Politicile sunt concise și clare și
includ consecințele nerespectării lor. De regulă, politicile utilizate care contribuie
la menținerea securității cibernetice utilizate în companii sunt de două categorii: de
business și de securitate.
Principalele categorii de politici de business care afectează securitatea
unei organizații sunt legate de:

• Confidențialitate
Se referă la informații interne pe care angajații nu au voie să le divulge.
Acestea pot fi nume de utilizator, parole, vulnerabilități ale sistemelor ș.a.

• Utilizare a resurselor unei organizații

Aceste politici prezintă modul în care membri unei organizații pot utiliza
resursele acesteia, atât cele software, cât și cele hardware. Pentru a menține
securitatea la un nivel optim, angajații nu au dreptul să instaleze decât aplicațiile
menționate în politici și nu pot descărca decât anumite tipuri de fișiere. Din punct
de vedere hardware, angajații nu au dreptul să conecteze la sistemele informatice
dispositive externe precum memorii USB, care ar putea ,,ocoli” sistemele firewall
sau de antivirus. De asemenea orice politici ar trebui să includă și prevederi
speciale în ceea ce privește utilizarea telefoanelor smartphone la locul de muncă.
Prin intermediul acestora pot fi încălcate nu numai politicile de utilizare a
resurselor, dar și altele, precum cele de confidențialitate.

• Separarea sarcinilor
Presupune ca activitățile și procesele-cheie să fie realizate de mai multe
persoane. Pentru a implementa cu succes acest tip de politică este necesar ca
fiecare membru al unei organizații să aibă bine definite sarcinile. De exemplu o
persoană procesează comanda unui client și o alta realizează factura. Politicile de
separare ale sarcinilor au rolul de a diminua riscul de fraudă sau de pierderi ale
organizației. Printre altele, astfel de politici previn deturnarea de fonduri, implicând
mai multe persoane în cadrul proceselor financiare. Astfel, dacă un angajat dorește
să folosească banii companiei pentru interese proprii, va fi observat ușor de colegi.
Securitate cibernetică 5

Cele mai importante politici de securitate necesare pentru a implementa și

menține securitatea sistemelor, rețelelor și a utilizatorilor se referă la:

• Principiul celor mai mici drepturi

Utilizatorii de sisteme trebuie să aibă alocate toate drepturile necesare
desfășurării activității lor, dar nimic în plus. Pornind de la exemplul prezentat mai
sus, un angajat care se ocupă de procesarea comenzilor nu poate utiliza aplicația
software pentru generarea facturilor și viceversa.
De asemenea, în companiile private, adesea, angajații nu pot instala
programe software de pe contul de utilizator. Este important de menționat că odată
ce un angajat părăsește locul de muncă sau își schimbă poziția, contul initițial al
acestuia trebuie imediat dezactivat.

• Rotația job-urilor
Se referă la procesele prin care angajații fac schimb de poziții și de sarcini.
În acest fel, compania se asigură că nu este dependentă de un anume angajat, care
ar avea prea multă putere în cadrul acesteia.

• Vacanțe obligatorii
Este important pentru o companie să se asigure că nu devine dependentă de
o persoană. Vacanțele oferă ocazia angajatului să se relaxeze și companiei să
observe importanța persoanei în cadrul acesteia. De asemenea, este o bună metodă
de a identifica fraudele. (Dulaney, et al., 2014)

Standardele descriu așteptările minime cu privire la diverse procese

și activități din cadrul unei organizații. Standardele sunt derivate din politici și pun
la dispoziție suficiente detalii prin intermediul cărora să poată fi realizat un audit
care să determine dacă respectivul standard este sau nu atins. Documentele de
standarde includ:
• scopul și intenția;
• roluri și responsabilități;
• criterii de performanță;
• menținerea și adiministarea cerințelor;
• documente de referință.

Procedurile explică membrilor unei organizații care sunt pașii exacți

pentru a întruni standardele. Dacă standardele impun așteptările minime de la
angajați, procedurile explică detaliat cum acestea pot fi atinse.
Ghidurile de bune practici sunt instrumente diferite față de politici și
standarde. Dacă cele din urmă au un caracter obligatoriu, ghidurile de bune practici
sunt concepute pentru a ajuta oamenii să se conformeze politicilor și standardelor.
De exemplu, acestea pot oferi explicații oamenilor cu privire la modul în care pot
instala o aplicație și ce pași să urmeze pentru a se asigura că toate standardele sunt
respectate. Ghidurile de bune practici se diferențiază de proceduri prin faptul că nu
sunt obligatorii și au un caracter mai puțin formal.
6 Bazele informaticii economice

Importanța politicilor, a standardelor, a procedurilor – scenariu real

,,În urmă cu câțiva ani, un angajat dintr-o companie mare utiliza sistemul
de calculatoare al acesteia pentru a gestiona o firmă mică de contabilitate pe care o
înființase. El utiliza resursele companiei în timpul liber. Când situația a fost
descoperită, angajatul a fost imediat concediat pentru utilizarea neadecvată a
calculatoarelor companiei. Acesta a acționat în judecată compania și a câștigat,
firma fiind obligată să îi achite nu numai salariile din urmă, dar și daune
suplimentare. Principalul motiv pentru care compania a pierdut procesul a fost că
politicile de utilizare a resurselor nu prevedeau că angajații nu pot folosi
calculatoarele companiei pentru munca personală, ci doar că nu le pot folosi pentru
munca personală în timpul orelor de lucru. Compania nu a putut demonstra că
angajatul a utilizat resursele în timpul orelor de lucru.” (Dulaney, et al., 2014)

Inginerie socială
Cunoscut sub numele de social engineering, în domeniul securității
cibernetice, ingineria socială reprezintă procesul prin care un atacator capătă
informații sau chiar acces la un sistem informatic prin intermediul unui atac
psihologic (manipulării), determinându-și victima să îi ofere informații
confidențiale sau să realizeze alte acțiuni în detrimentul acesteia.
Ingineria socială funcționează din cauza faptului că majoritatea oamenilor
își desfășoară activitatea pornind de la premisa că cei cu care colaborează sunt
cinstiți. Acest lucru este parțial adevărat, marea majoritate a interacțiunilor
profesionale au un caracter onest. Putem considera că prima formă de social
engineering a fost descrisă în lucrarea Iliada, a lui Homer, prin calul troian.
Ingineria socială reprezintă una dintre cele mai utilizate tehnici de către hackerii cu
pălărie neagră.

12.4.1 Categorii de atacuri de tip Social Engineering:

• Phishing (înșelăciune electronică) – este una dintre cele mai răspândite metode
de social engineering și constă în obținerea unor date cu caracter confidențial, în
mod ilegal, folosind diverse tehnici de manipulare a datelor. Un exemplu
frecvent întâlnit constă în trimiterea unui email, care aparent aparține unei
bănci cu care victima colaborează, prin care se solicită datele unui card în
scopul îmbunătățirii sau verificării acestora.
• Impersonation (identitate falsă) – procesul prin care atacatorul își convinge
victima că este o altă persoană decât în realitate.
• Alarme false (în engleză ,,hoaxes”) – au scopul de a crea confuzie sau chiar
panică în rândul utilizatorilor, determinându-i pe aceștia să ia decizii haotice.
• Shoulder Surfing (tradus a trage cu ochiul) – presupune observarea în mod
fizic a acțiunii prin care cineva introduce date sensibile precum PIN-ul unui
card, parola unui cont etc.
• Dumpster Diving (tradus căutarea în coșul de gunoi) – se referă la aflarea de
informații sensibile din documentele aruncate.
• Tailgating – presupune intrarea neautorizată într-un sistem prin intermediul
unei persoane autorizate, care, din neglijență sau ignoranță permite intrusului să
Securitate cibernetică 7

pătrundă odată cu ea ș.a.

12.4.2 Elemente pe care se bazează atacatorii care practică ingineria socială

• Autoritatea ‒ adesea atacatorul pretinde că face parte din echipa IT, de
management, poliție ș.a., determinându-și victima să cedeze ușor.
• Intimidarea ‒ poate fi realizată prin intermediul diverselor tehnici specifice,
atacatorul apelând adesea la amenițări și speculând sentimentul de vină al
victimei.
• Urgența ‒ victima este convinsă că, dacă nu execută de urgență acțiunile
sugerate de atacator, fie vor fi consecințe grave, fie vor fi pierdute oportunități
importante.
• Șarmul ‒ vorbind deosebit de frumos, simțul pericolului este adormit, iar
oamenii cad victime oferind informații sensibile sau realizând acțiuni în
detrimentul interesului lor.
• Oportunitățile rare (în engleză ,,scarcity”) ‒ promițând victimei că se află în
fața unei oportunități rare, eventual întâmplătoare, care trebuie exploatată în
acel moment. Exemple: (1) emailuri care anunță câștigarea unui premiu mare cu
condiția completării unui chestionar și trimiterea unei sume de bani; (2) lăsarea
aparent din greșeală pe podea în incinta unei companii a unui CD virusat pe
care scrie: ,,Salarii”.
• Familiaritatea ‒ adesea când ceva sau cineva ne pare familiar simțul
pericolului este moderat.
• Încrederea ‒ atacatorii fac un favor victimei pentru a-i câștiga încrederea
ulterior speculând acest lucru.

12.4.3 Soluții pentru prevenirea ingineriei sociale

Oamenii se pot proteja de ingineria socială cunoscând tipurile de atacuri și
principiile care stau la baza acestora. În cadrul organizațiilor un rol esențial îl au
politicile, standardele, procedurile și ghidurile de bune practici, prezentate mai sus,
care informează angajatul cu privire la ce are dreptul să facă și ce nu.
Întrucât adesea organizațiile nu inițiază suficiente acțiuni pentru a-și ajuta
angajații să conștientizeze necesitatea și pericolele generate de nerespectarea
politicilor și altor documente interne, iar oamenii, de regulă, consideră
documentele de acest tip plictisitoare și nu le studiază cu atenție, ingineria socială
rămâne una dintre cele mai simple și eficiente tehnici de a compromite securitatea
cibernetică.
În cadrul subcapitolului ,,Bune practici pentru utilizarea calculatorului în
siguranță” sunt prezentate pe larg diverse metode de prevenire a ingineriei sociale.

Evaluarea riscurilor
Evaluarea riscurilor reprezintă procesul prin care sunt identificate riscurile,
probabilitățile asociate acestora, precum și impactul generat de întâmplarea
acțiunilor nedorite. În funcție de probabilitate și impactul pe care îl au asupra unei
organizații, riscurile sunt evaluate în valori monetare, iar pe baza acestor rezultate
se iau decizii de prevenire a riscurilor.
8 Bazele informaticii economice

12.5.1 Formula pentru calculul riscurilor este:

VP1 x PADA = VPA (Dulaney, et al., 2014) 1
VP1 = valoarea pierderilor într-un caz nefavorabil;
PADA = probabilitatea de apariție în decursului unui an;
VPA = valoarea pierderilor anuale.
Exemplu practic: Este de așteptat ca anual securitatea serverulului unei
companii să fie compromisă de două ori, pierzându-se date și fiind nefolosibil
pentru câteva ore. Pierderile de date și de timp într-o astfel de situație sunt estimate
la 2500 de lei. Care este valoarea pierderilor anuale pentru un server?
Răspuns: VPA = 2500 x 2 = 5000 de lei.

12.5.2 Metode de gestiune a riscurilor

• Evitarea ‒ presupune identificarea unui risc și luarea unor măsuri care elimina
posibilitatea întâmplării oricăror acțiuni care generează acel risc. Exemplu:
întrucât accesul la memoriile USB generează adesea infectarea cu cod malware
a calculatoarelor, se poate interzice utilizarea dispozitivelor care se conectează
prin USB.

• Atenuarea ‒ se referă la acțiuni care reduc riscul. Instalarea unui firewall sau a
unui program software antivirus sunt exemple de acțiuni de atentuare a riscului.
• Transferul ‒ adesea companiile mari încheie polițe de asigurare, iar în cazul
în care acestea suferă pierderi acoperite de contract, asiguratorul plătește
daune companiei.
• Descurajarea ‒ determinarea atacatorului să renunțe la atacuri cibernetice.
Postarea repercursiunilor legale pe pagina de autentificare a unui site poate
reprezenta un mod de a descuraja posibili atacatori să utilizeze ilegal respectivul
sistem informatic.
• Acceptarea ‒ în cazul în care costul implementării strategiilor prezentate
anterior depășește valoarea așteptată a pierderilor anuale (VPA) atunci
acceptatea riscului devine o posibilitate. Acceptarea presupune conștientizarea
riscului de către administrator sau manager și asumarea posibilelor consecințe.
(Dulaney, și alții, 2014)

Securitatea programelor software și a sistemelor de operare

An de an, programele software devin tot mai complexe, oferind
utilizatorului performanțe sporite și posibilități suplimentare. Piața IT este din ce în
ce mai competitivă, fiind disponibile tot mai multe aplicații. Acest proces
generează o rapiditate mare de dezvoltare a tehnicilor și metodelor de programare,
fiind adesea dificil să se țină pasul și în ceea ce privește securitatea. De asemenea
mulți producători aleg să pună pe planul al doilea securitatea unui program,
concentrându-se în primul rând pe performanțe. De regulă securitatea și
performanțele intră în conflict din punct de vedere al resurselor hardware.

1 Adaptat de la SLE x ARO = ALE

Securitate cibernetică 9

Pentru a crește eficiența sa, un program software trebuie adesea integrat cu

multe alte programe software. Astfel, acestea trebuie să ruleze pe cât mai multe
sisteme de operare, trebuie să includă diverse module care să facă viața mai ușoară
utilizatorului, să se poată conecta automat la internet pentru a face diverse
actualizări etc. Aceste procese generează defecțiuni și vulnerabilități care sunt
ulterior exploatate de hackeri. Cu cât o aplicație software are mai multe
funcționalități, cu atât este mai greu, dacă nu imposibil, să ne asigurăm că aceasta
efectuează doar operațiile pentru care a fost concepută.

1. Tipuri de defecțiuni ale unui program software

• Eroarea – de regulă este o greșeală umană care generează un rezultat greșit.
Poate fi definită ca deviația dintre rezultatul actual și cel așteptat.
• Defectul (,,fault”) ‒ reprezintă o consecință a erorii și constă într-un pas
incorect, o comandă greșită, un proces greșit, o definire de date eronată în codul
sursă, în schema conceptuală sau în documentație. Defectele pot fi permanente
sau temporare și pot genera eșuarea programului.
• Eșuarea programului (,,failure”) – reprezintă inabilitatea unui sistem
informatic de a realiza funcțiile pentru care a fost creat în conformitate cu
criteriile de performanță specifice. Practic, în cazul eșuării programului, poate fi
observat un comportament incorect. (Georgescu, 2015)
Defecțiunile unui program trebuie analizate cu atenție și ulterior găsite
soluții pentru a fi tratate și eliminate. Acesta generează vulnerabilități ale
sistemelor informatice. Hackerii cu pălărie neagră identifică frecvent vulnerabilități
pe baza observării diverselor defecțiuni. La punctul 12.8.5 vor fi prezentate câteva
dintre cele mai importante tipuri de vulnerabilități.

12.6.2 Principiile care stau la baza securității unui sistem informatic sunt:
• Confidențialitate ‒ datele pot fi văzute doar de utilizatorii autorizați.
• Integritatea – datele pot fi modificate doar de utilizatorii autorizați.
• Disponibilitatea – datele sunt puse la dispoziție de sistemul informatic și pot fi
accesate oricând de utilizatorii autorizați.
• Autenticitatea – sistemul poate verifica autenticitatea unui utilizator.
• Nonrepudierea – garantează originea şi integritatea tranzacţiei din punctul de
vedere al expeditorului. (Surcel, și alții, 2004)

12.6.3 Securitatea sistemelor de operare

Securitatea sistemelor de operare se referă la controlul accesului la
computer, precum și la informațiile stocate în acesta (Ivan, și alții, 2009). Pentru
sporirea securității sistemelor de operare se pot crea mai multe conturi de utilizatori
cu drepturi și privilegii diferite. Contul de bază este cel de administrator, având
drepturi depline, spre deosebire de celelalte care, de regulă, au drepturi limitate.
Aceată metodă este folosită în organizații pentru a preveni daunele pe care le pot
genera utilizatorii nespecializați sau rău intenționați și este în concordanță cu
principiul celor mai mici drepturi, prezentat anterior.
10 Bazele informaticii economice

Cele mai importante instrumente de protecție a unui sistem de operare

și a programelor software sunt sistemele firewall și programele antivirus. Pentru
a înțelege cum protejează aceste intrumente sistemele informatice, întâi este
necesar să vedem care sunt principalele pericole la nivel de soft ‒ programele de
tip malware.

12.6.4 Malware
Un malware (din eng. Malitious Software) denumit și software malițios
sau rău intenționat reprezintă un program informatic plantat de un atacator pentru a
cauza efecte nedorite unui sistem informatic. Acesta poate fi un program software
care se execută singur sau un simplu cod care este executat de compilatorul unui alt
program. Un malware pune în primejdie bunurile unui sistem informatic, ducând la
încălcarea a cel puțin unul dintre principiile care stau la baza securității cibernetice:
confidențialitatea, integritatea, disponibilitatea, autenticitatea sau nonrepudierea.
Toate tipurile de sisteme informatice sunt vulnerabile la diverse forme de
malware, indiferent de sistemul de operare utilizat. De asemenea, nu numai
calculatoarele cad victime ale programelor malware, dar și telefoanele smart sau
tabletele. Chiar și sistemele informatice ale automobilelor sau ale altor dispozitive
electronice pot fi afectate de coduri malițioase. Odată cu Internet of Things, orice
dispozitiv electronic conectat wireless este o posibilă țintă a atacurilor cu cod
malware.

12.6.5 Tipuri de malware

Virusul este un program creat pentru a infecta un sistem informatic.
Numele a fost atribuit prin analogie cu virusul biologic, existând o serie de
similitudini legate de modul de funcționare a celor două. Principalele caracteristici
ale unui virus sunt: autoexecuția și automultiplicarea.
De asemenea, virușii pot fi polimorfici (au capacitatea de a-și schimba
forma pentru a evita detectarea) sau invizibili ‒ folosesc diverse tehnici de mascare
prin intermediul cărora ascund faptul că sistemul a fost infectat.
În funcție de modul de stocare, virușii sunt clasificați ca rezidenți sau
nonrezidenți. Cei rezidenți se află în memorie și sunt activi ca un program de sine
stătător, în schimb, cei nonrezidenți sunt dependenți de programul gazdă. În funcție
de programul gazdă, virușii pot fi de mai multe tipuri:
• viruşi Master Boot Record (MBR) – infectează MBR-ul de pe hard diskuri;
MBR-ul este sectorul care conţine programul ce încarcă sistemul de operare.
Dacă acest sector este afectat, sistemul de operare nu se va mai încărca în
condiții normale;
• viruşi Boot Sector (BS) – sunt asemănători cu viruşii MBR, singura diferenţă
constă în faptul că viruşii BS au ca țintă memoriile USB, CD-urile sau
DVD-urile;
• viruşi de fişiere – infectează diverse categorii de fişiere;
• viruşi de macro-uri – viruşii se plasează în macro-uri din cadrul
documentelor de tip Microsoft Office şi utilizează funcţionalităţile
Visual Basic for Applications;
Securitate cibernetică 11

• viruşi pereche – creează un fişier executabil nou, cu acelaşi nume, dar cu

altă extensie;
• viruşi de linkuri – sunt viruşi ce alterează structura de directoare,
redirecţionând calea directorului unui fişier infectat către zona în care este
localizat virusul;
• viruşi specifici – infectează anumite aplicaţii. (Mihai, 2012)

Pe lângă viruși, există și alte tipuri de malware, așa cum puteți observa
în tabelul 12.1.

Tabelul 12.1 Tipuri de malware (Georgescu, 2015) (Pfleeger, et al., 2012)

Nume Caracteristici
Virus Se instalează fără voia utilizatorului și poate provoca pagube
Poate rula independent și se poate propaga prin intermediul
Vierme unei rețele
Pe lângă efectul său principal, are și un alt efect secundar,
Troian deloc evident

Rabbit
Se poate autoreplica fără limită de resurse
(tradus ,,iepure”)
Se activează automat în momentul în care se satisface o
Bombă logică condiție
Bombă în timp Se activează într-un anumit moment temporal
Este folosit ca agent de transfer pentru a introduce un alt tip de
Dropper malware
Cod Agent Mobil Se trimite semiautomat prin intermediul aplicațiilor web
Malware generat în JavaScript, ActiveX sau alt limbaj de
Atac de tip Script scripting
Agent semiautomat, sub controlul unui atacator; nu toți boții
Bot conțin cod malware
Zombie Computer sub controlul unui program
Modifică setările browserului, restricționând diverse
Browser hijacker funcționalități
Malware instalat în ,,root” sau în secțiunea cu cele mai multe
Rootkit drepturi ale unui sistem de operare
12 Bazele informaticii economice

Nume Caracteristici
Program utilizat pentru a asambla mai multe seturi de cod
Toolkit malițios
Permite intrarea neautorizată, ocolind accesul normal la un
Trapdoor/ Backdoor sistem informatic
Spyware Monitorizează activitatea unui sistem informatic, o copiază și
trimite informații către o persoană străină

Scareware Avertisment eronat cu privire la un atac de tip malware

12.6.6 Antivirus
Antivirusul este o program software care se ocupă cu protecția unui
sistem informatic împotriva diverselor forme de malware, având ca funcții
principale prevenirea apariției, detectarea și ștergerea aplicațiilor malițioase. Inițial
programele antivirus au fost create pentru a proteja un sistem împotriva virușilor și
ulterior acestea și-au păstrat numele în ciuda apariției și altor forme de malware.
Pentru a proteja un sistem programele antivirus pot avea două tipuri de
abordări: Blacklisting (tradus a pune pe lista neagră), Whitelisting (tradus a pune
pe lista albă). În tabelul 12.2 pot fi observate principalele diferențe între cele două
tipuri de abordări.

Tabelul 12.2 Categorii de abordări ale programelor antivirus

Nume Whitelisting Blacklisting

operează pe baza unei liste de operează pe baza unei liste de
Abordare aplicații permise aplicații (malware) nepermise

dacă o aplicație nu este pe lista dacă o aplicație nu este pe lista de

Cum
de programe permise atunci programe respinse atunci aceasta
funcționează?
aceasta este respinsă sau limitată poate fi instalată și utilizată

Avantaje este mai sigură oferă mai multă flexibilitate

limitează utilizatorul în a folosi risc mai mare de infectare a
Dezavantaje doar aplicațiile de pe lista albă calculatorului

Orice sistem informatic modern are nevoie de protecție antivirus. Oricât de

avansat ar fi, acesta nu garantează securitatea sistemului, ci doar o îmbunătățește.
Pentru o bună protecție este recomandată actualizarea zilnică a programelor
antivirus. De asemenea, este recomandată scanarea calculatorului pentru
identificarea diverselor programe de tip malware cel puțin o dată pe săptămână.
Este important ca programul antivirus să fie setat să verifice programele în timp
real, pentru a ne asigura că un fișier nu este infectat înainte ca acesta să fie salvat
sau instalat pe calculator.
Securitate cibernetică 13

12.6.7 Firewall
Firewallurile sunt sisteme informatice care au ca scop izolarea unui
calculator de o rețea sau a unei rețele de celelalte. Firewallurile pot fi simple
programe software, instalate pe un calculator sau dispozitive de sine stătătoare,
care includ echipament hardware și programe software proprii. De regulă,
sistemele de operare includ un firewall, prin urmare, marea majoritate a
calculatoarelor sunt protejate de firewallul pus la dispoziție de SO. În schimb,
pentru o securitate sporită, serverele importante sau calculatoarele unor instituții
care lucrează cu date sensibile utilizează sisteme firewall de sine stătătoare. Pentru
o bună securitate este obligatorie utilizarea și activarea firewallului pentru orice
calculator (telefon smart, tabletă etc.) care se conectează la internet.

12.6.8 Actualizarea aplicațiilor

Pentru a asigura securitatea sistemelor informatice un rol important îl are
actualizarea lor. Acest lucru este valabil și pentru celelalte programe, nu doar
pentru cele de tip antivirus. Sistemele de operare instalează în mod constant diverse
pachete menite să îmbunătățească performanțele sau securitatea acestora. Dat fiind
faptul că majoritatea calculatoarelor sunt protejate de sistemul firewall integrat în
sistemul de operare, actualizarea sistemelor de operare este esențială. Pentru ca o
aplicație să fie actualizată este necesară: descărcarea unuia sau mai multor
patch-uri și instalarea acestora. Un patch este o bucată de software folosită pentru
a actualiza un program sau datele acestuia, a-l repara sau a-l îmbunătăți.

Zero-Day Exploit (Ziua 0 a unei exploatări)

În momentul în care este găsită o nouă metodă de a exploata o
vulnerabilitate de către un hacker se consideră că aceasta se află în ziua 0.
Sistemele informatice care prezintă acea vulnerabilitate, precum și programele
antivirus care le protejează nu sunt pregătite să gestioneze această problemă. De
aceea, imediat ce se identifică un ,,zero-day exploit” programatorii crează un patch
prin intermediul căruia aplicația vulnerabilă este actualizată. Dat fiind faptul că
zilnic apar numeroase astfel de ,,zero-day exploits” este necesară actualizarea
cât mai frecventă a programelor.

Concepte de criptare
,,Criptarea este o metodă de a îmbunătăți securitatea unui text sau fișier
prin amestecarea conținutului astfel încât să nu mai poată fi citit decât de cineva
care are cheia de criptare corespunzătoare pentru a-l repune în ordine.” De
exemplu, datele unei tranzacții online (precum adresa, numărul de telefon, numărul
cărții de credit) sunt criptate pentru a ajuta la păstrarea lor în siguranță. Criptarea
este utilizată pentru păstrarea unui nivel puternic de protecție al informațiilor.
(Microsoft)

12.7.1 Utilizare în practică ‒ exemplu

14 Bazele informaticii economice

Pentru a ne putea autentifica într-un sistem informatic (precum emailul

sau o rețea de socializare) fiecare utilizator are un cont și o parolă. Acestea
sunt stocate în baza de date a sistemului și verificate în momentul în care
ne logăm. Să presupunem că datele de autentificare sunt:
Cont: Informatică
Parolă: Securitate Cibernetică.
Baza de date a sistemului nu va stoca în text-în-clar parola, ci o va reține
criptată. Dacă, de exemplu, folosește ca algoritm de criptare SHA-1 (Secure Hash
Algorithm 1), atunci parola va arăta astfel:
bd4874c7ae9a083fc2765a0adb8558dba0767c92
Este important de menționat că decriptarea unui text criptat cu SHA-1 nu
este posibilă fără cheia de criptare.

12.7.2 Tipuri de sisteme criptografice

Criptarea se realizează prin utilizarea unui algoritm sau unui sistem de
algoritmi. Sistemele de criptare moderne sunt bazate pe o cheie de criptare. Astfel,
chiar dacă un atacator cunoaște sistemul de criptare folosit, nu poate decripta
mesajul fără cheie. Există două tipuri de sisteme criptografice folosite în prezent:
• Criptografia cu cheie simetrică (secretă) – foloseşte aceeaşi cheie atât la
criptarea, cât şi la decriptarea mesajelor. ,,Securitatea criptării simetrice depinde
de protecţia cheii folosite, managementul acestora fiind un factor vital în
securitatea datelor, iar procesul de distribuire sigură a cheilor este foarte
dificil” (Surcel, și alții, 2004).
• Criptografia cu cheie asimetrică (se mai numește și publică) ‒ foloseşte chei
distincte de codificare şi decodificare, dependente una de cealaltă. Una dintre
chei, cea privată, este ţinută secretă şi este cunoscută doar de proprietarul ei.
A doua cheie ‒ cea publică, perechea cheii private, este cunoscută ambilor
parteneri de dialog (Surcel, și alții, 2004).
În figura 12.1 poate fi observată schema unui sistem criptografic cu
cheia publică.
Securitate cibernetică 15

Figura 12.1 Sistem criptografic cu cheie publică

Pentru a putea înțelege sistemul criptografic cu cheie asimetrică putem face

următoarea analogie:
• cheia publică – este ca un lacăt;
• cheia privată – este chiar cheia care poate deschide lacătul;
• mesajul ‒ este o cutie al cărei conținut nu trebuie văzut de nimeni.
Etapele transmiterii conținutului sunt:
1. Emițătorul vrea să trimită un conținut receptorului, dar se teme că cineva pe
drum ar putea vedea conținutul.
2. Prin urmare acesta primește de la receptor un lacăt desfăcut împreună cu o
cutie, a cărui cheie o are doar receptorul.
3. Odată ce a introdus conținutul în cutie emițătorul închide lacătul. Practic, în
acest moment nici măcar el nu mai poate deschide cutia.
4. Emițătorul trimite cutia cu tot cu conținut la receptor și nimeni nu o poate
deschide pe drum.
5. Receptorul primește cutia și deschide lacătul cu cheia privată.
Dacă o persoană străină ar avea acces la primul schimb dintre emițător și
receptor, atunci ar putea observa o cutie goală și un lacăt deschis. Dacă ar avea
acces și la al doilea schimb ar observa o cutie cu lacătul închis. În niciuna dintre
cele două situații persoana străină nu va putea vedea conținutul!
Spre deosebire de sistemul asimetric, cel simetric presupune ca ambii
interlocutori să aibă acces la cheia lacătului. Problema apare în momentul în care
unul dintre interlocutori vrea să îi trimită această cheie celuilalt, întrucât persoana
străină ar putea copia cheia. În tabelul 12.3: Diferențe între criptarea cu cheie
simetrică și cea cu cheie asimetrică se pot observa principalele diferențe dintre
sistemele criptografice cu cheie simetrică și asimetrică:

Tabelul 12.3 Diferențe între criptarea cu cheie simetrică și cea cu cheie asimetrică

Tipul de cheie Simetrică Asimetrică

16 Bazele informaticii economice

ambii interlocutori se află în

atât emițătorul, cât și receptorul
Abordare
se află în posesia cheii
emițătorul criptează mesajul
Cum cu o cheie secretă pe care
funcționează? o trimite și receptorului
este de 100-1000 de ori mai
Avantaje
rapidă
posesia cheii publice, însă doar
receptorul cunoaște cheia privată
receptorul trimite emițătorului
cheia publică, cu care emițătorul
criptează mesajul; acesta poate fi
decriptat doar de posesorul cheii
private – adică de receptor
oferă o securitate mult mai mare

securitate redusă; procesul de

Dezavantaje viteză redusă
distribuire al cheii este dificil

12.7.3 Scenariu real: Disputa dintre FBI și Apple cu privire la decriptarea

datelor unui iPhone
La data de 9 februarie 2016, ca urmare a atacului de la San Bernardino,
soldat cu 14 morți și 22 de răniți, FBI a anunțat că nu poate decripta telefonul unuia
dintre atacatori, ca urmare a sistemelor de criptare performante utilizate.
Dispozitivul respectiv era un iPhone 5C, ale cărui componente software și
hardware sunt create de firma Apple. În ciuda mandatului judecătoresc, Apple nu
a putut ajuta FBI, aceștia afirmând că nici măcar ei nu pot decripta dispozitivul
electronic. Prin urmare FBI a obținut un ordin judecătoresc prin care solicita
firmei Apple să modifice sistemele de criptare astfel încât, pe viitor, să fie evitate
astfel de situații, iar autoritățile SUA să poată avea acces la datele dispozitivelor
în caz de necessitate. În cele din urmă FBI a renunțat la proces întrucât a reușit
să decripteze telefonul, fiind ajutați de o organizație externă.
Securitatea în internet
Securitatea în internet presupune transmiterea și utilizarea datelor în acest
mediu respectând principiile care stau la baza securității sistemelor informatice:
confidențialitate, integritatea, disponibilitatea, autenticitatea, nonrepudierea,
prezentate anterior. Pentru a realiza acestea, au fost dezvoltate o serie de
instrumente (precum: certificate, protocoale, alte tipuri de programe software) și
tehnici (precum cele de criptare prezentate la punctul 12.7) care să asigure un grad
cât mai mare de securitate.

12.8.1 Certificate și protocoale

,,Un certificat digital este o «carte de identitate» virtuală care poate
permite crearea unei semnături electronice cu valoare legală, permiţând
identificarea fără echivoc în mediul electronic. Prin semnătură electronică se
garantează trasabilitatea modificării documentelor (integritatea), originea
lor (autenticitatea), precum şi răspunderea legală a
Securitate cibernetică 17

semnatarului (nonrepudierea)” (certSIGN) Principalele funcții ale unui certificat

sunt: criptarea datelor, semnătură digitală, autentificarea la aplicații web sau site-
uri de încredere.
În capitolul anterior ,,Internet” au fost prezentate aspecte generale legate
de protocoale, cum funcționează acestea și care sunt cele mai utilizate protocoale
pentru transmiterea datelor în mediul internet. Există pericolul ca hackerii să
intercepteze diverse date transmise prin internet. De aceea, împreună cu
protocoalele utilizate pentru transmiterea datelor sunt folosite și alte protocoale
care asigură securitatea acestora. Cele mai importante sunt TLS și SSH.

Transport Layer Security (TLS) este succesorul protocolului Secure

Sockets Layer (SSL) și asigură condițiile care fac posibilă criptarea cu cheie
asimetrică, metodă prezentată la punctul 12.7. Secure Shell (SSH) este un protocol
care permite ca datele să fie transmise printr-un canal securizat. Acest proces
poartă numele de ,,tunneling”.

Pentru a obține un certificat digital este necesar ca o aplicație web să

utilizeze protocoale de criptare, astfel TLS este utilizat împreună cu alte
protocoalele de transmitere a datelor. De exemplu, protocolul HTTP încapsulat
într-un flux TLS (sau SSL) oferă o conexiune sigură, acest tip de conexiune
purtând numele de HTTPS (HyperText Transfer Protocol/Secure). Un alt protocol
utilizat adesea împreună cu TLS (sau SSL) este FTP, formând FTPS (File Transfer
Protocol/Secure).

12.8.2 Paradigma Vulnerabilitate – Amenințare – Control

Pentru a asigura securitatea cibernetică a unui sistem informatic este
recomandată utilizarea paradigmei Vulnerabilitate – Amenințare – Control.
,,O vulnerabilitate reprezintă un punct slab într-un sistem informatic, care
ar putea fi exploatat, fapt ce ar genera pierderi. Persoana sau grupul de persoane
care exploatează o vulnerabilitate realizează un atac al sistemului în cauză. O
amenințare reprezintă un set de circumstanțe care au potențialul de a genera
prejudicii. Ultimul element al paradigmei prezentate este controlul, care poate fi
definit ca o acțiune, tehnică sau procedură care elimină sau reduce o
vulnerabilitate. Amenințările sunt oprite prin controlul
vulnerabilităților.” (Georgescu, 2015) (Pfleeger, et al., 2012)

12.8.3 Tipuri de amenințări

Amenințările se clasifică pornind de la cauzele și sursele acestora. În
figura 12.2 se pot observa diversele tipuri de amenințări. Acestea pot avea cauze
naturale sau umane. Cele umane pot fi simple erori (neintenționate) sau pot fi
realizate cu bună știință de un atacator. Majoritatea sistemelor informatice infectate
sunt victime aleatorii, însă o parte dintre atacuri sunt direcționate.
18 Bazele informaticii economice

Figura 12.2 Tipuri de amenințări

(Georgescu, 2015) (Pfleeger, et al., 2012)

12.8.4 Metode de control

Principalele strategii de contracarare a atacurilor cibernetice sunt:
• Prevenirea ‒ constă în eliminarea (soluționarea) vulnerabilității.
• Împiedicarea ‒ presupune îngreunarea atacului.
• Devierea ‒ constă în a-l determina pe atacator să considere un alt obiectiv mai
atractiv.
• Diminuarea ‒ se realizează prin reducerea (la minimum) a pagubelor.
• Detectarea ‒ fie în timp ce se execut, fie după finalizarea atacului.
• Recuperarea ‒ revenirea la starea initițială, anterioară atacului. (Georgescu,
2015) (Pfleeger, et al., 2012)

12.8.5 Vulnerabilități ale aplicațiilor web exploatate pentru a compromite

securitatea acestora
Pentru a compromite securitatea unei aplicații disponibile online atacatorii
folosesc diverse tehnici de atac. În continuare sunt prezentate principalele tipuri de
vulnerabilități ale sistemelor informatice din internet, precum și metode prin care
acestea pot fi exploatate. Pornind de la aceste categorii atacatorii încearcă să
pătrundă în aplicații, iar administratorii de sistem să le protejeze.
I. Scurgeri de informații
Se referă la diverse informații ale unei aplicații web la care un utilizator nu
ar trebui să aibă acces și care îl ajută pe acesta să compromită sistemul. Acestea pot
fi simple informații despre server, alte aplicații aflate pe server, arhitectura
aplicației ș.a. Punând cap la cap informațiile, un hacker este mai aproape de a
identifica vulnerabilități.
Securitate cibernetică 19

II. Configurarea sau implementarea aplicațiilor

Pentru ca o aplicație să fie disponibilă online este necesară configurarea și
implementarea acesteia pe un server gazdă. Adesea aplicația comunică și cu alte
aplicații și orice setare greșită poate genera vulnerabilități.
III. Gestiunea identității utilizatorilor
Numeroase aplicații web au un sistem de gestiune a identității utilizatorilor.
În această etapă se testează securitatea acestuia.
IV. Autenticitatea
În această etapă se testează dacă sistemul informatic respectă principiul
autenticității datelor.
V. Autorizarea
,,Autorizarea reprezintă procesul prin intermediul căruia se oferă drepturi
și acces la resurse în mod diferențiat utilizatorilor. Din perspectiva securității
aplicațiilor web este recomandat ca fiecare utilizator să aibă conturi numai cu
privilegiile de care are nevoie să își desfășoare activitatea și nimic în
plus.” (Georgescu, 2015)
VI. Gestiunea sesiunilor
O sesiune reprezintă o conexiune specifică între un computer client și un
server, care face posibilă comunicarea între computere (Microsoft). Prin
intermediul sistemului de gestiune al sesiunilor, o aplicație web gestionează stările
fiecărui utilizator cu care interacționează. Pentru a stoca informații în cadrul
sesiunilor sunt utilizate cookie-urile, acestea reprezentând un text special, de cele
mai multe ori codificat (Georgescu, 2015).

VII. Validarea datelor de intrare

Validarea datelor de intrare reprezintă cea mai importantă categorie de
vulnerabilități. Exploatând aceste tipuri de vulnerabilități, hackerii reușesc să
introducă cod malware în aplicațiile web, modificând modul normal de
funcționarea al acestora. Practic codul malițios este introdus în diverse puncte de
intrare (precum un formular de autentificare sau de căutare), iar dacă acesta este
rulat de compilatorul aplicației, securitatea acesteia este compromisă.
VIII. Gestiunea erorilor
Adesea programele informatice prezintă diverse erori. Acestea trebuie
tratate, iar efectul lor remediat. În caz contrar, erorile pot oferi atacatorilor diverse
informații sau alte tipuri de oportunități.
IX. Sistemul de criptare al datelor
Această categorie se referă la testarea sistemului de criptare.
X. Client-side testing (tradus: testarea aplicațiilor utilizatorului client)
Se referă la execuția de cod malware în cadrul aplicațiilor utilizatorului, de
obicei în browserul de internet.
20 Bazele informaticii economice

XI. Deficiențe la nivel logic ale aplicațiilor

,,Testarea acestor tipuri de vulnerabilități se bazează pe verificarea
funcționalităților unei aplicații și a fluxurilor de lucru la nivel logic.”
(Georgescu, 2015)
Vulnerabilitățile aplicațiilor web sunt variate și exploatate zi de zi, iar
responsabilii cu securitatea cibernetică a unui sistem informatic trebuie să fie
mereu informați cu privire la ultimele amenințări. În prezent, cel mai utilizat cadru
de testare la nivel global este pus la dispoziție de OWASP (The Open Web
Application Security Project) și este îmbunătățit în mod continuu de diverși
specialiști ai domeniului securitate cibernetică. Ghidul de testare este disponibil
la adresa https://www.owasp.org/index.php/Category:OWASP_Testing_Project.

Bune practici pentru utilizarea calculatorului în siguranță

În acest subcapitol sunt prezentate câteva recomandări și bune practici
pentru a ajuta utilizatorii să mențină o securitate cibernetică optimă a sistemelor
informatice pe care le folosesc. Este important de menționat că cele mai multe
dintre atacuri au drept cauză principală ingineria socială, hackerii cu pălărie neagră
bazându-se pe lipsa de pregătire a utilizatorilor de siteme informatice.
12.9.1 Gestionarea programelor software de pe calculatorul personal
La acest punct sunt enumerate câteva propuneri care contribuie în mod
semnificativ la îmbunătățirea securității unui calculator personal.
1. Utilizarea unui sistem de operare actualizat.
2. Utilizarea unor aplicații de încredere, cu licență.
3. Nu este recomandată utilizarea programelor piratate. Adesea, hackerii care
realizează procesul de piratare introduc și malware în codul acestora.
4. Utilizarea unui program antivirus actualizat și realizarea periodică a scanărilor
unui calculator.
5. Salvarea periodică a datelor pe un suport electronic izolat, precum un stick de
memorie sau un hard extern. Această metodă poartă numele de back-up.
6. Evitarea deschiderii fișierelor necunoscute, în special cele cu extensii
executabile.
7. Setarea sistemulului de operare astfel încât acesta să afişeze extensiile fişierelor,
pentru a observa adevărata lor extensie. Adesea distribuitorii de aplicaţii
malware modifică extensia acestora pentru a convinge utilizatorii să ruleze
fişiere executabile. (Serviciul Român de Informații)

12.9.2 Bune practici pentru utilizarea aplicațiilor din mediul internet

Pentru o navigare sigură pe internet se recomandă:
1. Instalarea sau activarea unui program firewall (de obicei integrat în cadrul
sistemului de operare) care să filtreze datele primite.
2. Instalarea și utilizarea unui browser web actualizat.
3. La instalarea extensiilor sau plugin-urilor în cadrul unui browser este esențial
să ne asigurăm că sunt de încredere.
4. Când furnizăm informații personale pe un site este esențial să ne asigurăm că
Securitate cibernetică 21

acesta este securizat. Site-urile securizate folosesc conexiuni de tip https, acest
lucru putând fi observat întrucât adresesele site-urilor respective sunt precedate
de ,,https://”. Nu este recomandăt să furnizăm informații personale site-urilor
fără o conexiune sigură, precedate de ,,http://”.
5. În utilizarea rețelelor sociale este importantă să ne asigurăm că aplicațiile
folosite sunt de încredere.
6. A nu se utiliza rețele de wi-fi publice pentru operațiuni bancare, afaceri
personale sau comerț on-line.
7. Deși (încă) este utilizată la scară largă, tehnologia Bluetooth prezintă o serie de
vulnerabilități. Este recomandată oprirea opțiunii Bluetooth când aceasta nu este
folosită. (Serviciul Român de Informații)

12.9.3 Măsuri directe împotriva social engineering

1. Nu este recomandată sub nicio formă deschiderea atașamentelor sau accesarea
adreselor primite prin email sau prin alte canale de comunicare din partea unor
persoane necunoscute.
2. Nu este recomandată accesarea sau deschiderea atașamentelor primite sau
accesarea adreselor primite prin email sau prin alte canale de comunicare din
partea unor conturi pe care le cunoaștem, decât dacă suntem 100% siguri că
proprietarii conturilor au avut intenția de a ne trimite acel atașament. Există
diverse forme de malware care trimit fișiere malițioase de la un cont către
rețele de conturi conectate cu acesta.
3. În utilizarea internetului este important să rămânem cât mai anonimi posibil.
Divulgarea în mediul online a unor informații personale, precum CNP-ul,
parole, numere de carduri, adresa, numărul de tefon ș.a. poate genera neplăceri.
Oricând divulgăm online astfel de date este esențial să ne asigurăm că site-ul
care le solicită este demn de încredere.
4. Este recomandată o mare discreție cu privire la datele divulgate pe site-urile de
socializare. Datele sau pozele publicate pot fi văzute și folosite de posibili
atacatori pentru a provoca neplăceri. (Serviciul Român de Informații)
5. La accesarea unei aplicații web este esențial să ne asigurăm că aceasta este ceea
ce pare. Adesea atacatorii construiesc pagini similare cu cele ale site-uri pe care
le utilizăm. De exemplu, o pagină care are un design asemănător cu formularul
de autentificare la adresa de mail sau la o rețea de socializare poate determina
un utilizator neatent să trimită atacatorului datele sale de autentificare.

12.9.4 Măsuri pentru gestionarea conturilor

1. Este important să nu divulgăm datele conturilor sau parolele acestora altor
persoane. De asemenea, nu este recomandat să notăm parolele noastre pe nicio
sursă fizică sau electronică.
2. Este important să nu utilizăm aceeși parolă pentru mai multe conturi. În acest
fel ne asigurăm că în cazul în care un cont este compromis pagubele se restrâng
doar la sistemul informatic și resursele care pot fi accesate de pe acel cont.
3. Când părăsim un calculator este important să ne delogăm, astfel încât acesta să
nu poată fi folosit de persoane neautorizate.
4. În alegerea unei parole este recomandat să respectăm câteva aspecte:
22 Bazele informaticii economice

• să aibă cel puțin 8 caractere;

• să nu conțină nume proprii (în niciun caz numele utilizatorului) sau date
personale care ar putea fi aflate (exemplu: data nașterii);
• să aibă cel puțin o majusculă, o cifră, și un caracter care nu este alfanumeric
(!, &, #, $,% ș.a.).
5. Adesea oamenii aleg parole simple pentru a și le aminti ușor. Pentru a seta și
ține minte o parolă bună este recomadată utilizarea unor metode de generare.
Una dintre cele mai simple este să alegem o frază pe care o folosim frecvent și
să facem modificări după cum ne dorim. Exemplu: Pornind de la fraza: ,,Îmi
place informatica, dar cel mai mult securitatea cibernetică” putem efectua
modificări astfel: î și i devin !, a devine @, e devine 3, o devine 0 și eliminăm
spațiile. De asemenea, prima literă a fiecărui cuvânt va fi scrisă cu majuscule.
Va rezulta:
!m!Plac3!nf0rm@t!c@3c0n0m!c@D@rmM@!@l3S3cur!t@t3@C!b3rn3t!c@.
6. Pentru conturile importante este recomandată utilizarea autentificării în mai
multe etape. Unele aplicații web pun la dispoziție această facilitate. Aplicațiile
de internet banking obligă utilizatorul să folosească acest sistem. La primul pas
se introduc contul și parola. După efectuarea acestei etape utilizatorul primește
un mesaj text pe telefon (sau pe un dispozitiv special numit token) cu un cod.
Codul primit este necesar finalizării procesului de autentificare și este valid
pentru o perioadă scurtă de timp (2-5 minute).

Bibliografie fără nimic bold la bibliografie

Academia Română ‒ Institutul de Lingvistică, ,,Iorgu Iordan". 2009. Dicționar

Explicativ al Limbii Române, ed. a II-a. s.l.: Univers Enciclopedic, 2009
Amenințări cibernetice globale și naționale. Vevera, Adrian-Victor. 2014. 3,
2014, Revista Română de Informatică și Automatică, Vol. 24
certSIGN. certSIGN. [Interactiv] https://www.certsign.ro/certsign/produse/
certificate-digitale
Dulaney, Emmet și Easttom, Chuck. 2014. Security+, Study Guide, 6th Edition.
Indianapolis, Indiana: John Wiley & Sons, Inc., 2014
Georgescu, Tiberiu-Marian. 2015. Securitate Cibernetică, Lucrare de disertație,.
București: Academia de Studii Economice, 2015
Guvernul României. Hotărârea nr. 494 din 11.05.2011 privind înființarea CERT-
RO. s.l.: Publicat în Monitorul Oficial Nr. 388 din 2.06.2011
Interviu Panel II. Cosmoiu, Florin. 2015. Sibiu : s.n., 2015. Conferința Națională
de Cybersecurity
Ivan, Ion și Toma, Cristian. 2009. Informatics Security Handbook 2nd Edition.
București: Editura ASE, 2009
Securitate cibernetică 23

Microsoft. Microsoft. [Interactiv] [Citat: 25 03 2016.] http://windows.microsoft.

com/ro-ro/windows/what-is-encryption#1TC=windows-7
—. Office. [Interactiv] [Citat: 06 04 2016.] https://support.office.com/ro-ro/article/
Sesiunile-%C8%99i-expirarea-sesiunilor-%C3%AEntr-un-registru-de-
lucru-din-browser-74938c0d-9652-4f10-b87c-1a7682540dfb?ui=ro-
RO&rs=ro-RO&ad=RO
Mihai, Ioan-Cosmin. 2012. Securitatea Informațiilor. s.l. : Editura Sitech, 2012.
Parlamentul României. Codul Muncii, art. 110, Legea nr.8/1996 actualizată în
2014. s.l.: Monitorul Oficial
Parlamentul României. Art. 302 al Codului Penal privinf Violarea Secretului
Corespondenței. s.l.: Monitorul Oficial 757/2012
Pfleeger, Charles P. and Pfleeger, Shari L. 2012. Analyzing Computer Security: A
Threat/ Vulnerability/ Countermeasure Approach. s.l.: Prentice Hall
Professionall, 2012
Senatul României. 2014. Proiectul de lege privind securitatea cibernetică, adoptat
de Senat la data de 19.12.1014. [Interactiv] 2014. [Citat: 25 04 2015.]
https://senat.ro/Legis/Lista.aspx?cod=18494
Serviciul Român de Informații. Ghid de autoprotecție. [Interactiv] [Citat: 20 04
2016.] http://www.sri.ro/ghid-de-autoprotectie.html#ghid2
SonicWall, Dell. 2012. Sonicwall. [Interactiv] 2012. [Citat: 29 03 2016.] http://
w w w. s o n i c w a l l . c o m / d o c u m e n t s / a n a t o m y - o f - a - c y b e r- a t t a c k -
ebook-24640.pdf
Surcel, Traian, și alții. 2004. Bazele Informaticii Economice. București: Editura
ASE, 2004