Documente Academic
Documente Profesional
Documente Cultură
Cuprins
1
Corina-Ştefania Nănău
Cursul 6
Nivelul Sesiune controleaza si administreaza dialogul intre doua calculatoare (dintre aplicatia
locala si cea la distanta). Se definesc proceduri de incepere, terminare, mentinere si resetare a con-
vorbirilor (ce pot fi in mod half-duplex sau full-duplex). Acest nivel include posibilitatea de control si
2
Corina-Ştefania Nănău
management al mesajelor, anuntand totodata nivelele superioare daca datele au fost trimise cu succes
la destinatie sau nu.
Tot aici sunt restabilite sesiunile de comunicare in cazul intreruperii acestora.
XDR (eXternal Data Representation) - este un protocol care ofera specificatiile pentru
reprezentarea standard a datelor dintr-o retea. Folosind o reprezentare standard a datelor, un
program poate fi sigur ca interpreteaza datele corect, chiar daca sursa datelor este un dispozitiv
cu o arhitectura complet diferita. In practica insa, majoritatea programelor nu folosesc un
XDR intern, ci au o reprezentare a datelor conform arhitecturii computerului pe care ruleaza
programul. Cand programul trebuie sa comunice cu un alt program, acesta isi converteste datele
in format XDR inainte de a le trimite. iar atunci cand primeste date, converteste datele din
format XDR in propria sa reprezentare.
ASN.1 (Abstract Syntax Notation One) - este un limbaj standard folosit pentru descrierea
structurilor de date care pot fi serializate si deserializate. Acest limbaj se foloseste pe scara larga
in telecomunicatii, in retele de calculatoare si in special in domeniul criptografiei.
SMB (Server Message Block) - este un protocol de comunicare ce vizeaza accesul partajat
la fisiere, la imprimante, etc in cadrul unei retele de calculatoare. Acest protocol are mai multe
versiuni, ultima fiind 3.1.1, introdusa in Windows 10 si Windows Server 2016 si ofera securitate
sporita printr-o modalitate mai avansata de criptare si autentificare.
AFP (Apple Filing Protocol) - este un protocol de retea, care face parte din AFS (Apple
File Service) si care ofera servicii pentru transfer de fisiere pentru sistemul de operare Mac
OS.
Nivelul Prezentare rezolva astfel diferentele ce pot aparea din cauza diverselor aplicatii ce pot
folosi sintaxe si semantici diferite. Spre exemplu, un fisier video este diferit de unul audio, dar trebuie
ca ambele sa fie convertite intr-un format unic pentru retea. Foarte important este de asemenea ca
datele sa fie restaurate la finalul transmisiei, trecand de la formatul de retea la un format acceptat de
programul ce trebuie sa primeasca acele date.
De asemenea, asa cum am observat din cele mentionate anterior, criptarea datelor se face tot la
acest nivel, in completarea securitatii asigurate de nivelul precedent.
3
Corina-Ştefania Nănău
Fiind un domeniu extrem de complex, ISO (International Organization for Standardization) si
IEC (International Electrotechnical Commission) au stabilit 14 subdomenii ale securitatii informatiei,
prin standardul ISO 27001. Cele mai importante dintre acestea, care vizeaza securitatea comunicatiei
in retea, sunt urmatoarele:
Politica de Securitate este un document care trateaza masurile coercitive si comportamentul
membrilor unei organizatii si specifica modul in care vor fi accesate datele, ce date sunt accesibile
si cui
Controlul Accesului priveste restrictiile aplicate accesului direct la retea, sisteme, aplicatii si
date.
Criptografia defineste modalitatile de criptare a informatiei si administrarea cheilor de criptare.
Securitatea Fizica si a Mediului descrie masurile de protectie pentru centrele de date din
cadrul unei organizatii.
Securitatea Operationala controleaza serviciile de retea, securitatea acesteia, transferul de
informatie, etc.
Securitatea Comunicatiilor defineste cerintele de securitate pentru procesele de dezvoltare si
suport.
Administrarea Incidentelor de Securitate a Informatiei trateaza felul in care sistemul
anticipeaza si raspunde in cazul unei brese de securitate.
Starea de securitate poate fi garantata prin implementarea a patru mecanisme de
protectie: descurajarea, prevenirea, detectarea si raspunsul.
Descurajarea este de obicei prima linie de aparare impotriva intrusilor care pot incerca sa
obtina acces la o retea. Presupune crearea unei atmosfere menite sa sperie intrusii, iar uneori, acest
lucru poate implica transmiterea unor avertismente.
Prevenirea este procesul incercarii de a impiedica intrusii sa obtina acces la resursele unui
sistem sau al unei retele prin utilizarea de firewall-uri sau utilizarea elementelor de acces pentru a
permite accesul numai pentru utilizatorii autorizati.
Detectarea are loc atunci cand intrusul a reusit sau este in curs de accesare a sistemului sau al
retelei. Semnalele din procesul de detectare includ alerte la existenta unui intrus. Uneori aceste alerte
pot fi in timp real sau pot fi stocate pentru analize suplimentare de catre personalul de securitate.
Raspunsul este un mecanism care incearca sa raspunda la esecul primelor trei mecanisme.
Acesta functioneaza incercand sa opreasca si/sau sa previna deteriorarea sistemului sau al retelei.
4
Corina-Ştefania Nănău
Asigurarea confidentialitatii si integritatii datelor
Algoritmii cu cheie simetrica utilizeaza aceeasi cheie atat pentru criptare cat si pentru
decriptare. Cerinta principala, dar si marele dezavantaj, este aceea ca ambele parti care comunica sa
aiba acces la acea cheie. Dificultatea apare din cauza necesitatii existentei unei metode prin care sa se
poate transmite aceasta cheie de la emitator la receptor, fara a intra in posesia altora. Transmiterea
personala este cea mai sigura, dar imposibila daca este vorba de o comunicare intre doua puncte
diferite, aflate la distanta.
Daca se doreste ca cheia sa fie secreta se utilizeaza metode de schimb in siguranta al cheii de
criptare (de exemplu metoda Diffie-Hellman) sau se utilizeaza protocoale cu cheie publica. Un exemplu
de algoritm cu cheie simetrica, utilizat in retelele de calculatoare este AES (Advanced Encryption
Standard).
Algoritmul Diffie-Hellman reprezinta o metoda care permite ca doi utilizatori care comunica
sa schimbe in mod sigur cheile utilizate pentru criptarea mesajelor. Acest algoritm are la baza un
numar prim si o radacina primitiva a acestuia.
Se numeste radacina primitiva a unui numar prim p un numar a, ale carui puteri
genereaza toate numerele de la 1 la p − 1. Cu alte cuvinte, daca a este o radacina primitiva a
lui p, atunci numerele: a mod p, a2 mod p, a3 mod p, ..., ap−1 mod p sunt distincte si reprezinta numerele
intregi de la 1 la p − 1, intr-o ordine oarecare.
Astfel, oricare ar fi numarul b intreg si numarul a radacina primitiva a unui numar prim p, se
poate gasi un exponent unic notat cu i, astfel incat sa avem b = ai mod p, unde 1 ≤ i ≤ (p − 1).
Exponentul i se numeste logaritmul discret sau indexul lui b.
Descrierea algoritmului Diffie-Hellman de generare a cheilor: Exista doua numere
cunocute public, pe care le vom nota cu q si α. q este un numar prim, iar α este o radacina primitiva
a sa. Fie doi utilizatori A si B ai unei retele, care doresc sa comunice. Pentru aceasta, ei trebuie sa
faca mai intai schimb de chei, pentru a ajunge la cheia folosita pentru criptare si respectiv pentru
decriptare. Schimbul se va face astfel: utilizatorul A alege un numar intreg oarecare, notat XA , cu
proprietatea ca XA < q si apoi calculeaza valoarea YA = αXA mod q.
5
Corina-Ştefania Nănău
Similar, utilizatorul B alege un numar intreg oarecare, notat XB , cu proprietatea ca XB < q,
apoi calculeaza si el o valoare YB = αXB mod q.
Fiecare parte pastreza secreta valoarea XA , respectiv XB generata, si comunica celeilalte parti
doar valoarea YA , respectiv YB , calculata.
Utilizatorul A calculeaza cheia de criptare K = YBXA mod q iar utilizatorul B calculeaza cheia
K = YAXB mod q.
Folosind reguluile aritmeticii ”modulo n”, se constata ca A si B obtin aceeasi valoare pentru
cheia K. Astfel vom spune ca cele doua parti si-au transmis cheia secretă K.
XA si XB fiind secrete, un intrus are la dispozitie pentru a calcula cheia K numai valorile q, α, YA
si YB . De exemplu, pentru a obtine cheia secreta a lui B, trebuie calculat: XB = indα,q (YB ). Dupa
aceea, cheia secreta K poate fi calculata identic cu modul in care a calculat-o utilizatorul B.
In aritmetica ”modulo n”, exponentierea este o functie intr-un singur sens. Aceasta inseamna
ca este usor de calculat un numar y = q x mod n pentru o valoare secreta x, insa este mult mai dificil
sa se calculeze x din y, daca numerele sunt suficient de mari. Aceasta este cunoscuta ca problema
logaritmului discret, pentru ca x este logaritm din y in baza q mod N , iar numerele sunt finite si
intregi.
Schema algoritmului Diffie-Hellman se poate observa in Fig. 1.2.
Algoritmii cu cheie asimetrica, pe de alta parte, folosesc doua tipuri de chei: una privata
si una publica. Oricine poate cripta un mesaj folosind cheia publica, insa numai detinatorul cheii
private (pereche cu cheia publica folosita pentru criptare) poate decripta mesajul. Pentru mai multa
siguranta, cheia publica face parte dintr-un certificat digital eliberat de o autoritate de certificare. Cele
mai cunoscute aplicaaii ale acestui tip de algoritm sunt criptarea cu cheie publica, pentru transmiterea
de mesaje, si crearea de semnaturi digitale. In cazul retelelor de calculatoare aplicatiile client-server
folosesc un astfel de algoritm in cadrul protocolului TLS (Transport Layer Security), amintit anterior.
Datele aflate in tranzit intre emitator si receptor pot fi alterate in mod intentionat. Verificarea
integritatii acestora se realizeaza de obicei folosind coduri hash. Un cod hash este o valoare numerica
de lungime fixa (de obicei 128 de biti) care identifica in mod unic datele si se obtine din aceste date,
pe baza unei functii one-way-hash (nu se poate aplica si invers pentru a determina datele pe baza
codului hash). Codul este apoi criptat si transmis impreuna cu mesajul.
Receptorul decripteaza codul, aplica functia pe mesajul primit si verifica daca valoarea hash a
datelor primite este identica cu valoarea hash a datelor trimise, pentru a determina daca datele au
fost modificate. Acest procedeu se poate observa in Fig. 1.3.
Procedeul de creare a unui hash-code al datelor nu este insa suficient pentru a garanta integrita-
tea datelor. Se obisnuieste generarea unui sir de caractere dinamic care sa fie atasat datelor inaintea
generarii hash-cod-ului acestora. Acest sir atasat datelor poarta numele de ”salt”. Daca acest sir este
cunoscut doar de gazdele care comunica, un intrus nu ar reusi sa isi dea seama care este secventa
atasata pentru a ascunde interventia sa de corupere a datelor.
6
Corina-Ştefania Nănău
Monitorizarea retelei
Monitorizarea retelei implica managementul configuratiei retelei si controlarea activitatilor nor-
male dintr-o retea: monitorizarea accesului, a routerelor sau switch-urilor, a sistemelor de tip firewall,
a sistemelor de tip server sau client. In acest caz, administratorii retelei se ocupa de controlarea si
supravegherea modului in care functioneaza aceasta, folosind unelte software specializate. Acestia au
nevoie sa stie de existenta tuturor componentelor, denumirile si adreselor acestora si, de asemenea,
detaliile de routare. Trebuie cunoscute relatiile dintre componente si operatiile caracteristice fiecaruia.
Monitorizarea presupune, de obicei, determinarea unor parametri precum: disponibilitatea, tim-
pul de raspuns sau de functionare a unui sistem, aplicatie sau serviciu. De obicei sunt trimise
mesaje prin retea pentru a verifica felul in care aceasta raspunde la cereri. De exemplu,
verificarea starii unui site web se poate face prin trimiterea de cereri periodice pentru a descarca o
anumita pagina. In cazul aparitiei unor erori sau a unor raspunsuri lente, se vor trimite alerte ce
vor fi vizibile administratorilor de retea. Astfel de teste se pot realiza cu comenzi de tip ping sau
cu protocoale de monitorizare si administrare precum SNMP (Simple Network Management
Protocol).
7
Corina-Ştefania Nănău
greseli, datorita experientei in domeniul ingineriei si complexitatii mai reduse, care le face mai usor de
testat. Cele mai mari probleme de vulnerabilitate se datoreaza greselilor in proiectarea componentelor
software, trei factori majori contribuind in mare masura la aparitia vulnerabilitatilor:
factorul uman
complexitatea software-ului
sursele software de incredere
Gestionarea deficitara a securitatii: Este rezultatul unui control scazut asupra implementa-
rii, administrarii si monitorizarii securitatii. Este un esec in a avea un control solid asupra situatiei de
securitate a unei organizatii atunci cand administratorul de securitate nu stie cine stabileste politica
de securitate a organizatiei, cine administreaza respectarea securitatii si configuratiile de securitate
ale retelei si cine are sarcina de a trata evenimentele si incidentele de securitate.
Implementarea incorecta: Este de obicei rezultatul utilizarii unor interfete incompatibile
intre doua produse hardware sau software care trebuie sa lucreze impreuna, a utilizarii unei arhitecturi
de retea nesigura, a liniilor de comunicatie neprotejate, sau a configurarii insuficiente si incorecte a
produselor.
Factorul uman: Securitatea unei retele este asigurata si efectuata de catre persoanele care
o administreaza. Astfel, orice situatie care necesita implicarea directa a acestora poate avea diverse
efecte: lipsa atentiei, uitarea temporara, graba de a finaliza o activitate, utilizarea unor algoritmi
netestati, nepasarea, reaua intentie.
8
Corina-Ştefania Nănău
Centrate pe o singura entitate - de exemplu, este atacat un anumit server din retea de pe
un singur echipament.
Distribuite - lansate din mai multe locatii sau catre mai multe dispozitive simultan.
In functie de metodele utilizate, atacurile pot fi:
Nestructurate, ce sunt initiate de indivizi neexperimentati ce utilizeaza exploit-uri disponibile
pe Internet. Exploit-urile sunt programe ce exploateaza vulnerabilitatile unei retele, pentru a
ocoli politica de securitate implementata intr-o retea.
Structurate, ce sunt initiate de indivizi mult mai bine motivati si care detin cunostinte tehnice
competente. Acesti indivizi cunosc posibile vulnerabilitati de sistem si le pot folosi pentru a
obtine acces in retea, pot detecta noi vulnerabilitati de sistem si pot dezvolta cod si scripturi
pentru a exploata reteaua.
Atacurile asupra unui sistem pot fi executate atat pentru culegere de date, cat si pentru
modificarea datelor. Din acest punct de vedere, atacurile se clasifica in atacuri pasive si atacuri
active.
Atacurile pasive sunt acele atacuri care au ca tinta furtul datelor si al drepturilor
utilizatorilor autorizati. Aceste date pot fi utilizate ulterior de atacator in accesarea diverselor
componente ale sistemului ca si cand acesta ar fi utilizatorul de drept al datelor.
Atacurile pasive pot fi:
monitorizarea transmisiei dintre doua entitati (eavesdropping) si furtul informatiei (pa-
cket sniffing) care este transmisa intre aceste entitati. Atacatorul nu intentioneaza sa intrerupa
serviciul sau sa cauzeze un efect, ci doar sa intre in posesia informatiei.
analiza traficului - daca informatia este criptata, va fi mult mai dificil sa fie citita, dar ata-
catorul nu doar observa informatia, ci si incearca sa inteleaga ceva din ea; sau pur si simplu sa
determine identitatea si locatia celor doua parti implicate in conversatie sau sa descopere modul
si cheia de criptare.
Atacurile pasive sunt greu de detectat din moment ce exista un impact foarte mic asupra infor-
matiei comunicate.
Atacurile active au ca scop cauzarea unei intreruperi, si de obicei sunt usor de recunoscut.
Spre deosebire de atacul pasiv, un atac activ modifica informatia, poate sterge, insera sau intarzia
mesaje sau poate intrerupe un serviciu. Exemple de atacuri active sunt:
Mascarada (masquerade) - atacatorul pretinde a fi altcineva cu intentia de a obtine date
secrete. Multe dintre atacurile de acest tip pot fi evitate prin adoptarea unor politici de securitate
adecvate, care presupun responsabilizarea utilizatorilor, implementarea unor metode de acces
robuste, folosirea unor metode de autentificare cat mai eficiente.
Reluarea - se produce atunci cand un mesaj sau o parte a acestuia este repetata, cu intentia
de a produce un efect neautorizat (autentificarea atacatorului folosind informatii de identificare
valide, transmise de un utilizator autorizat al retelei). Acest tip de atac poate fi prevenit prin
etichetarea fiecarei componente criptate cu un ID de sesiune si un numar de componenta.
Modificarea mesajelor - face ca datele mesajului sa fie alterate prin modificare, inserare sau
stergere. Poate fi folosita pentru a se schimba beneficiarul unui credit in transferul electronic
de fonduri sau pentru a modifica valoarea acelui credit. O alta utilizare poate fi modificarea
campului destinatar/expeditor al postei electronice.
Refuzul serviciului - se produce atunci cand o entitate nu reuseste sa indeplineasca propria
functie. Acest lucru se realizeaza prin supraincarcarea serverelor cu cereri din partea atacatorului
si consumarea resurselor, astfel incat acele servicii sa nu poata fi oferite si altor utilizatori.
9
Corina-Ştefania Nănău
ce urmeaza a fi spart, pentru a face anumite lucruri, ce l-ar ajuta pe hacker sa execute atacul.
De obicei, ingineria sociala este insotita de alte tipuri de atacuri, astfel devenind o arma puternica
in mana atacantului. Ingineria sociala poate fi evitata prin implementarea tehnicilor de securitate ce
protejeaza de accesul liber al persoanelor neautorizate in incaperile companiei, instruirea riguroasa a
personalului, anuntarea lucratorilor in caz ca apare o persoana noua autorizata, etc.
Exista mai multe metode de atacuri de acest tip, printre care phishing-ul si baiting-ul.
Phishing-ul reprezinta un atac in care se simuleaza o organizatie legitima, care cere informatii
confidentiale de la utilizator, de exemplu, pe e-mailul victimei vine un mesaj ce contine site-ul emulat
al unei organizatii reale, cu emblema sa, iar cand utilizatorul incearca sa se autentifice, parola sa este
trimisa atacatorului.
Baiting-ul este un tip de atac prin care victima introduce codul daunator in calculatorul sau.
Hackerul poate lasa codul pe un disc sau un flash drive USB, ce se va instala automat atunci cand
acestea sunt introduse in calculator, de obicei din curiozitate, pentru a vedea ce se afla pe mediul de
stocare respectiv.
Spargerea parolelor
Reprezinta un atac pe care hackerul il efectueaza ca sa se poata autoriza si autentifica intr-un
sistem, pentru a-i obtine resursele. In majoritatea cazurilor, acesta nu obtine neaparat parolele, cat
hash cod-ul acelor parole. Deoarece functia de criptare a parolelor nu este una reversibila, asa cum
am mentionat si anterior, parola este aflata prin incercarea tuturor variantelor posibile, sau conform
unui dictionar, pana cand parola criptata coincide cu hash-ul obtinut in mod infractional.
Pentru a evita riscul ca parolele sa fie sparte, e nevoie ca ele sa aiba o dificultate mare, sa contina
litere mici, majuscule, cifre, semne de punctuatie. Totodata trebuie ca ele sa fie schimbate la intervale
regulate, pentru a nu da sansa atacatorului sa reuseasca sa le sparga in acest interval de timp.
Spoofing
Spoofing-ul nu este mereu un atac, dar de obicei este insotit de un atac. Acesta reprezinta
ascunderea informatiei despre calculatorul atacator, de exemplu a adresei IP, adresei MAC, serverului
DHCP, DNS etc, utilizand identitatea unui alt calculator autorizat, facand dificila gasirea atacatorului.
IP Spoofing este analog cu un atacator care trimite un pachet unei persoane cu adresa de retur
gresita. Daca persoana care primeste coletul doreste sa opreasca expeditorul sa trimita pachete,
blocarea tuturor pachetelor de la adresa falsa nu va ajuta la nimic, deoarece adresa de retur este
usor de schimbat, iar atacatorul va lua alta identitate. In mod similar, daca destinatarul doreste sa
raspunda la adresa de retur, pachetul sau de raspuns va merge in alta parte decat la expeditorul real
(atacatorul). Abilitatea de a falsifica adresele pachetelor este o vulnerabilitate de baza exploatata de
multe atacuri DDoS (Distributed Denial of Service).
Dupa cum stim, toate pachetele IP contin un antet care precede corpul pachetului si care contine
informatii importante de routare, inclusiv adresa calculatorului sursa. Intr-un pachet normal, adresa
IP a calculatorului sursa este adresa expeditorului pachetului. Daca pachetul a fost falsificat, adresa
sursa va fi una falsa.
Spoofing-ul se realizeaza prin proxy servere, vulnerabilitati in protocoalele TCP/IP sau prin
intermediul serviciilor anonime de pe Internet.
Cea mai utilizata metoda de securizare impotriva Spoofing-ului, este criptarea datelor intre
routere si gazde externe, ce micsoreaza sansa ca hackerul sa afle datele despre calculatoare intr-un
interval de timp rezonabil, pana sa fie detectat.
10
Corina-Ştefania Nănău
Sniffing
Sniffing-ul reprezinta procesul de capturare si analiza a traficului. Programele folosite
pentru sniffing se numesc sniffere sau analizatoare de protocoale, cum ar fi: Wireshark, Network-
Miner, Telerik Fiddler, etc. Ele analizeaza pachetele transmise prin retea, capturand parolele sau alte
date confidentiale transmise in forma de text simplu.
Pentru protectia de acest tip de atac se utilizeaza protocoale pentru securizarea comunicatiilor,
cum ar fi IPSec (Internet Protocol Security) care cripteaza traficul din retea. Astfel, datele capturate
de hacker nu vor fi usor descifrabile.
Alta metoda de protectie ar fi folosirea programelor anti-sniffer, care verifica daca reteaua este
monitorizata. De obicei utilizarea unui serviciu de tip VPN si evitarea retelelor Wi-Fi publice reduce
riscul de sniffing.
Cele mai frecvente atacuri DoS sunt bazate pe protocoalele TCP/IP si functioneaza prin una
din urmatoarele metode:
Exista multe tipuri diferite de atacuri DoS, cele mai grave dintre acestea fiind:
Ping of Death, ce trimite pachete de tip ping de marime mai mare decat marimea maxima a
unui pachet, si anume 65535 bytes. Astfel, pachetul ICMP (Internet Control Message Protocol)
este fragmentat si statia victima va trebui sa il reasambleze, dar in acest timp el mai primeste
si alte astfel de pachete, ajungandu-se astfel la supraincarcarea sistemului.
Permanent Denial of Service (PDoS), cunoscut ca s, i Phlashing, reprezinta atacuri care
distrug sistemul intr-atat incat e necesara inlocuirea componentelor hardware, sau chiar a in-
tregului sistem. Atacatorul obtine acces la o imprimanta, router sau alte componente hardware
din retea si ii poate modifica firmware-ul cu o imagine invalida, corupta, sau cu o imagine modi-
ficata, distrugand astfel acea componenta. Firmware-ul unui dispozitiv este un software
care ofera instructiuni de baza ale acelui dispozitiv hardware, care permit acestuia
sa functioneze si sa comunice cu alte programe care ruleaza pe alte dispozitive.
Firmware-ul ofera control la nivelul cel mai de jos al unui dispozitiv hardware. Din acest motiv,
uneori este numit ”software pentru hardware”. O alta caracteristica distinctiva este aceea ca
firmware-ul de regula nu este conceput pentru a fi usor de utilizat (nu este user-friendly).
Banana attack este o tehnica speciala de atac DoS, ce redirectioneaza toate pachetele trimise
de un client catre un server, inapoi clientului, inundandu-l cu acele pachete trimise de el insusi.
DDoS (Distributed Denial of Service) reprezinta atacul in care un singur server este atacat
de mai multe calculatoare Zombie, care sunt infectate de hacker prin diverse metode, de obicei
prin intermediul programelor malware, in care este inscrisa adresa IP a victimei. Nu este nevoie
de interactiunea atacatorului pentru a realiza atacul, desi in unele cazuri el poate prelua con-
trolul asupra calculatoarelor infectate. In prezent nu exista metode foarte eficiente de evitare a
atacurilor DDoS. Totodata nu poate fi aflata usor provenienta atacului.
11
Corina-Ştefania Nănău
DRDoS (Distributed Reflected Denial of Service Attack) presupune trimiterea unor
cereri false catre un numar mare de calculatoare, iar cu ajutorul IP Spoofing se redirectioneaza
toate raspunsurile catre gazda cu IP-ul emulat.
Man-in-the-Middle (MITM)
Atacul MITM presupune ca hackerul sa intercepteze si, daca are nevoie, sa modifice continutul
mesajelor dintre doua calculatoare, facand ambele victime sa creada ca ele comunica una cu cealalta,
conversatia fiind de fapt controlata de atacator. Acest atac poate fi obtinut prin intermediul DHCP
Spoofing. Mai exact, un calculator din retea va pretinde ca el este serverul DHCP (Dynamic Host
Configuration Protocol), luand informatiile despre gazde de la serverul DHCP real. Daca atacatorul
furnizeaza calculatoarelor din retea date gresite, acesta poate aplica apoi sniffing-ul pentru a afla toate
datele confidentiale trimise de calculatoarele din retea altor retele externe. Acest Spoofing DHCP poate
fi detectat utilizand programele special destinate, care includ functionalitati de DHCP snooping, ce
atenueaza aceste atacuri. Astfel de programe au fost dezvoltate de catre Cisco si Juniper.
Malware
Acesta este un tip de software proiectat intentionat pentru deteriorarea unui calculator sau
infiltrarea in el sau/si deteriorarea ori infiltrarea in retele intregi de calculatoare, fara consimtamantul
detinatorului. Notiunea de malware se utilizeaza generalizat de catre informaticieni pentru
a desemna orice forma ostila, intruziva sau suparatoare de software sau cod sursa al
unui program. De cele mai multe ori, software-ul daunator este folosit pentru a lua, fara voia
proprietarului, informatii personale din computerul infectat, cum ar fi: parole, date bancare sau
alte informatii confidentiale. Protectia impotriva acestui tip de atac se realizeaza prin utilizarea
antivirusilor.
Spyware
Spyware este un software nedorit, de spionaj, care ajunge pe computer, adesea fara a constientiza
acest fapt. Sunt atasate astfel de bucati de cod de obicei la programe gratuite (jocuri, programe de
partajat fisiere, programe de chat, etc.), care capteaza pe ascuns date de marketing (prin analiza
site-urilor pe care le viziteaza utilizatorul). Informatiile culese de pe calculatorul / dispozitivul atacat
sunt folosite ulterior pentru a transmite utilizatorului reclame corespunzatoare, dar nesolicitate. In
99% dintre cazuri, programul spion este instalat de insusi utilizatorul calculatorului, in mod voit sau
nu, necitind licenta si termenii si conditiile programului ce contine spyware, prin apasarea la instalare
pe un buton de genul ”Da, sunt de acord”.
Programele de tip spion nu sunt considerate virusi informatici, deoarece, in general, ele nu cauta
sa infecteze programe si nici sa atace calculatoarele altor utilizatori din retea. Ele sunt considerate
doar amenintari la adresa sferei private a utilizatorilor. Unele programe antivirus nu detecteaza niciun
fel de program spion. Pentru inlaturarea programelor spion sunt folosite programele antispyware. De
obicei programele de tip antivirus contin si extensii antispyware.
Trojan horse
Calul troian este un tip de software spion care pare ca ar realiza ceva inofensiv, dar care in
realitate realizeaza functii ce permit accesarea neautorizata a unui calculator, respectiv copierea fisi-
erelor, si chiar controlarea comenzilor acestuia. Caii troieni, care tehnic nu sunt virusi informatici,
12
Corina-Ştefania Nănău
pot fi descarcati cu usurinta si in necunostinta de cauza. Acestia nu se manifesta prin ei insisi, ci
au nevoie de utilizatorul dispozitivului sa instaleze un program aparent inofensiv (sau chiar util), dar
care instaleaza si o alta aplicatie ce va produce atacuri dispozitivului respectiv.
Spre exemplu, daca un joc pe calculator este astfel proiectat ca la executarea sa de catre un
utilizator sa deschida o ”usa de intrare (backdoor)” pentru un hacker, care poate prelua ulterior
controlul computerului, se spune despre acel joc ca este un cal troian.
Exista mai multe tipuri de aplicatii de tip ”cal troian”:
Banker Troian - este o aplicatie conceputa pentru a viza conturile bancare si informatiile finan-
ciare ale utilizatorilor. Acesta incearca sa sustraga datele contului de la cardurile de credit sau
de debit, de la sistemele de plata electronica si de la sistemele bancare online.
Downloader Trojan - vizeaza un computer care a fost deja infectat cu programe malware, apoi
descarca si instaleaza pe acesta mai multe programe rau intentionate. Astfel de programe ar
putea fi troieni suplimentari sau alte tipuri de softuri de tip malware.
Fake antivirus Trojan - un troian antivirus fals simuleaza actiunile unui antivirus legitim. Troia-
nul este conceput pentru a detecta si elimina amenintarile ca un program antivirus obisnuit, dar
care ulterior solicita sume de bani nejustificate de la utilizatori pentru eliminarea amenintarilor
care ar putea fi inexistente.
Spy Trojan - sunt proiectati sa stea pe computerul unui utilizator si sa spioneze activitatea
acestuia. Aceasta include inregistrarea actiunilor de la tastatura, realizarea de capturi de ecran,
accesarea aplicatiilor pe care le foloseste utilizatorul, precum si urmarirea datelor de conectare
ale utilizatorului.
Exemplele de aplicatii de tip ”cal troian” sunt mult mai multe si diverse. Protectia impotriva
acestora se poate realiza prin utilizarea antivirusilor.
Ransomware
Este un software rau intentionat care, dupa ce se instaleaza pe dispozitivul victimei (calculator,
tableta, smartphone) cripteaza datele acesteia tinandu-le ”ostatice” sau santajeaza victima, pe care
o ameninta ca ii va publica datele daca aceasta nu plateste o ”rascumparare”. Acest tip de software
se raspandeste in retea ca un cal troian. Ca metoda de protectie se foloseste un antivirus, dar daca
datele au fost deja criptate de un astfel de program, se vor folosi aplicatii de decriptare specifice
fiecarui ransomware.
Virusi
Sunt programe care se instaleaza singure pe dispozitivele din retea, fara voia utilizatorului, si pot
provoca pagube atat in sistemul de operare cat si in elementele hardware (fizice) ale dispozitivului.
Acestea pot fi orientate spre componentele hardware (le solicita din punct de vedere fizic pana la
deteriorarea acestora) sau spre componentele software (afecteaza toate tipurile de fisiere, inclusiv pe
cele ale sistemului de operare).
Cateva dintre efectele pe care le genereaza virusii software sunt:
distrugerea unor fisiere;
modificarea dimensiunii fisierelor;
stergerea totala a informatilor de pe disc, inclusiv formatarea acestuia;
distrugerea tabelei de alocare a fisierelor, care duce la imposibilitatea citirii informatiei de pe
disc;
diverse efecte grafice sau sonore, care pot fi inofensive sau daunatoare;
incetinirea vitezei de lucru (utila) a calculatorului, pana la blocarea acestuia;
inmultirea fisierelor pana la umplerea memoriei;
ascunderea fisierelor si blocarea anumitor spatii de lucru de pe calculator.
Virusii pot fi detectati si eliminati prin utilizarea unor programe antivirus puternice, cum ar
fi: Norton 360, Bitdefender, TotalAV, McAfee, Panda, PCprotect, Avira, Kaspersky, ESET NOD32,
AVG, Microsoft Defender, etc.
13
Corina-Ştefania Nănău
Viermi (worms)
Sunt programe care se instaleaza singure, se auto-multiplica si se raspandesc in retea prin uti-
lizarea vulnerabilitatilor sistemelor de operare. Multi viermi care au fost creati sunt conceputi doar
pentru a se raspandi si nu incearca sa schimbe sistemele prin care trec. Aproape intotdeauna provoaca
cel putin cateva daune retelei, chiar si numai prin consumul de latime de banda.
Masuri de protectie
Cateva dintre cele mai uzuale masuri de protectie impotriva atacurilor nedorite asupra utiliza-
torilor unei retele de calculatoare (a retelei Internet):
Ca regula generala, orice calculator trebuie sa aiba instalat un program antivirus, actualizat cat
mai des.
Utilizatorii nu trebuie sa instaleze programe provenite din surse care nu prezinta incredere.
La utilizarea serviciului de e-mail nu trebuie deschise fisierele atasate unor mesaje provenind de
la necunoscuti, in special cele cu extensia ”.exe”.
Este foarte util sa se creeze copii dupa fisierele importante, care sa fie pastrate pe alt suport
decat hard-discul folosit in mod curent.
1. Parametrii de securitate sunt stabiliti individual pentru fiecare pachet IP (in consecinta se vor
adauga informatii suplimentare la fiecare pachet, crescand costurile de transmisie).
2. Inainte de a incepe transmiterea pachetelor IP propriu-zisa, sunt stabiliti o serie de parametri
ai comunicatiei, ceea ce presupune transmiterea unor pachete IP suplimentare. Este o varianta
mai ineficienta decat cea anterioara, neutilizata in cadrul IPSec (Internet Protocol Security).
3. Protocolul IPSec (Internet Protocol Security) foloseste o a treia varianta, si anume:
parametrii de securitate sunt inclusi in primul pachet IP si gazda destinatie ii salveaza pentru
a-i utiliza si pentru celelalte pachete primite in cadrul transmisiei respective.
14
Corina-Ştefania Nănău
ca un intrus sa intre in posesia acelor parametri. De obicei, Security Association presupune un set
destul de complex de informatii pe baza carora se realizeaza autentificarea si confidentialitatea.
O asociere de securitate (SA) este definita in mod unic de:
15
Corina-Ştefania Nănău
Sequence Number: este un numar utilizat pentru eliminarea duplicatelor.
Authentication Data: contine ICV (Integrity Check Value) sau MAC (Message Authentica-
tion Code) pentru pachet.
Protocolul ESP (Encapsulating Security Payload). Este un protocol care asigura con-
fidentialitatea continutului mesajelor si, partial, si confidentialitatea traficului. Optional,
acesta poate asigura si serviciile de autentificare ale protocolului AH.
Protocolul ESP se efectueaza in doua moduri:
Mod transport: Cripteaza unitatea de date IP si toate extensiile header-ului IPv6 care urmeaza
dupa header-ul ESP.
Mod tunel: Cripteaza pachetul IP original
Mod transport: Cripteaza unitatea de date IP si toate extensiile header-ului IPv6 care urmeaza
dupa header-ul ESP si autentifica unitatea de date IP.
Mod tunel: Cripteaza pachetul IP original si autentifica pachetul IP original.
16
Corina-Ştefania Nănău
Bibliografie
[6] https://www.fortinet.com/resources/cyberglossary/trojan-horse-virus
[7] https://www.ibm.com/docs/en/zos/2.3.0?topic=ipsec-ah-esp-protocols
17