Documente Academic
Documente Profesional
Documente Cultură
1. Controale de acces
2. Administrare
3. Audit și Monitorizare
4. Risc, răspuns și recuperare
5. Criptografie
6. Comunicații de date
7. Cod rău intenționat
1
Cuprins
2
2.9 Controlul modificărilor/Gestionarea configurației (p.135-139).........................13
2.10 Politică, standard, linii directoare, linii de bază.................................................14
2.11 Roluri si responsabilitati.....................................................................................14
2.12 Structură și practici.............................................................................................14
2.13 Conștientizarea securității..................................................................................14
2.14 Planificarea managementului securității...............................................................14
2.15 Dezvoltarea comună a unei politici de securitate..................................................15
3.0 AUDIT ȘI MONITORIZARE....................................................................................16
3.1 Tipuri de control.................................................................................................16
3.2 Audituri de securitate.........................................................................................16
3.2.1 Audit de securitate intern și extern.............................................................16
3.2.2 Procesul de auditare....................................................................................16
3.2.3 Surse de date de audit (pag. 192)................................................................17
3.2.4 Piste de audit...............................................................................................17
3.2.5 Metode de audit de securitate.....................................................................17
3.2.6 Instrument de audit asistat de calculator (CAAT)......................................18
3.2.7 Unitate centrală de logare (CLF)................................................................18
3.3 Mecanismul de raportare și monitorizare................................................................18
3.4 Tipuri de atac...........................................................................................................19
3.4 FURTUNĂ.........................................................................................................20
3.5 Nivel de tăiere....................................................................................................20
4.1 Managementul riscurilor (riscuri, amenințări, vulnerabilități și expuneri)........21
4.2 Analiza de risc....................................................................................................21
4.3 Instrumente și tehnici de analiză/evaluare a riscurilor.......................................22
4.4 Recuperare după dezastru...................................................................................22
4.4.1 Planificarea continuității afacerii (BCP) (p.268 SSCP)..............................22
4.4.2 Planificarea recuperării în caz de dezastru (DRP) (p.271 SSCP)...............22
4.4.3 Backup-uri (p.277 SSCP)............................................................................22
4.4.4 Analiza impactului asupra afacerii (BIA)...................................................22
4.5 Răspuns la incident (pag. 282 SSCP).................................................................23
5.0 CRIPTOGRAFIE........................................................................................................24
5.1 Algoritmi de criptare simetrică (p.333 SSCP)...................................................24
5.2 Algoritmi de criptare asimetrică (p. 331 SSCP)................................................25
5.3 Sisteme simetrice vs asimetrice..........................................................................25
5.4 Integritatea mesajului.........................................................................................25
5.4.1 Algoritmi hash (p.337 SSCP).....................................................................25
3
5.5 Link și criptare end-to-end.................................................................................26
5.6 Criptografia pentru e-mailuri.............................................................................26
5.7 securitatea internetului.......................................................................................26
5.8 PKI (pag. 355 SSCP)..........................................................................................27
5.8.1 X.509................................................................................................................27
5.9 Atacurile criptografice........................................................................................27
6.0 COMUNICAȚII DE DATE........................................................................................28
6.1 Modele de comunicare de date:..........................................................................28
6.2 TCP/IP - Protocol de control al transmisiei/Protocol Internet...........................28
6.3 Tipuri comune de sisteme LAN.........................................................................29
6.4 Cablare...............................................................................................................29
6.5 Tipuri de semnalizare.........................................................................................29
6.6 Moduri de transmisie (abordări).........................................................................29
6.6.1 Metode de acces LAN.................................................................................30
6.7 Rețele..................................................................................................................30
6.8 Topologie de rețea..............................................................................................30
6.9 Standardele IEEE...............................................................................................30
6.10 Dispozitive de rețea............................................................................................31
6.11 Firewall-uri (p. 400 SSCP).................................................................................31
6.12 Protocoale...........................................................................................................31
6.12 Servere de servicii de autentificare la distanță...................................................31
6.12.1 Protocoale de securitate la nivel de rețea....................................................32
6.12.2 Protocoale de securitate la nivel de aplicație..............................................32
6.13 Tehnici de securitate a comunicațiilor...............................................................32
7.0 COD RAȚIUNI...........................................................................................................34
7.1 Diverse tipuri de virus........................................................................................34
7.1.1 Ce parte infectează virușii...........................................................................34
7.1.2 Cum infectează virușii................................................................................34
7.2 Cum poate fi introdus codul rău intenționat în mediul de calcul.......................34
7.3 Mecanisme care pot fi utilizate pentru prevenirea, detectarea atacurilor de coduri
rău intenționate..............................................................................................................34
7.3 Atacurile comune....................................................................................................35
4
1 .0 CONTROLUL ACCES
Obiecte de control acces: orice obiect care necesită acces controlat poate fi considerat un obiect de control al
accesului.
Subiecte de control al accesului: orice utilizatori, programe și procese care solicită permisiunea pentru obiecte sunt
subiecte de control al accesului. Aceste subiecte de control al accesului trebuie identificate, autentificate și autorizate.
Sisteme de control acces: Interfață între obiectele de control acces și subiecte de control acces.
1.1.5 Asigurare
Pentru a oferi asigurare, trebuie să se răspundă la următoarele patru întrebări: (adică CIA + Responsabilitate)
- Tranzacțiile dintre subiectul controlului accesului și obiectul controlului accesului sunt confidențiale ?
- Este asigurată și garantată integritatea obiectului de control acces?
- Este disponibil obiectul de control al accesului pentru a fi accesat atunci când este necesar?
- Este sistemul de control al accesului responsabil pentru ceea ce autentifică (de exemplu,
înregistrare/auditare)?
Dacă la toate patru se poate răspunde afirmativ, atunci asigurarea a fost asigurată în mod corespunzător.
Administrare cont: Administrarea tuturor conturilor de utilizator, sistem și servicii utilizate în sistemul de control al
5
accesului. Aceasta include crearea (autorizare, drepturi, permisiuni), întreținere (blocare-resetare a contului, audit,
politică de parole) și distrugerea (redenumire sau ștergere) conturilor.
Drepturi de acces și permisiuni: proprietarul datelor ar trebui să decidă orice drepturi și permisiuni pentru un anumit
cont. Principiul celui mai mic privilegiu va fi folosit aici pentru a acorda toate drepturile și permisiunile necesare unui
cont pentru a îndeplini sarcinile necesare, dar nu mai mult decât este necesar sau necesar.
Monitorizare: Modificările la conturi, escaladarea privilegiilor ar trebui să fie înregistrate și ar trebui să fie
monitorizate constant pentru securitate.
Securitatea suportului amovibil: orice mediu amovibil din sistem poate fi vulnerabilitatea. Toate mediile amovibile
trebuie restricționate sau controlate într-un fel pentru a asigura cea mai bună securitate posibilă a sistemului.
Gestionarea cache-urilor de date: controlul accesului nu este doar pentru utilizatori - orice tip de informații care se
află pe sistem trebuie luat în considerare - de exemplu, cache-urile de date temporare (fișier de pagină, dr watsons,
fișiere .tmp etc.)
Nota 2: Nu confundați utilizarea politicii SSCP cu politicile Windows (de exemplu, lungimea minimă a
parolei etc.)
6
proprietarul datelor decide în continuare cu privire la clasificarea datelor ).
Controlul accesului bazat pe rol (RBAC) alias non-discreționar: rolul utilizatorului/sarcinii (subiectului)
determină accesul la obiectul de date. Utilizează un set de controale administrat central pentru a determina
modul în care subiecții și obiectele interacționează.
Modele formale:
1. Biba
Primul model formal care abordează integritatea . Modelul Biba își bazează controlul accesului pe niveluri de
integritate. Este format din trei reguli primare.
1. Un subiect la un anumit nivel de integritate X poate citi doar obiecte la aceleași niveluri de integritate sau
mai mari - axioma simplă a integrității .
2. Un subiect la nivelul de integritate X poate scrie doar obiecte la aceleași niveluri de integritate sau mai
mici - axioma de integritate * (stea) .
3. Un subiect la nivelul de integritate X poate invoca doar un subiect la niveluri de integritate identice sau
mai mici .
2. Clark/Wilson
Acest model este similar cu Biba, deoarece se adresează integrității . Protejarea integrității informațiilor
concentrându-se pe prevenirea utilizatorilor autorizați de a face modificări neautorizate ale datelor, fraude și erori
în cadrul aplicațiilor comerciale.
Utilizează separarea sarcinilor sau separarea sarcinilor . Principiul separării sarcinilor prevede că nicio persoană
nu trebuie să îndeplinească o sarcină de la început până la sfârșit, ci că sarcina trebuie împărțită între două sau mai
multe persoane pentru a preveni frauda de către o singură persoană care acționează singură. Acest lucru asigură
integritatea obiectului de control al accesului prin securizarea procesului utilizat pentru crearea sau modificarea
obiectului.
3. Bell/LaPadula
Acest model formal specifică faptul că toate obiectele de control al accesului au un nivel minim de securitate
alocat, astfel încât subiecții de control al accesului cu un nivel de securitate mai mic decât nivelul de securitate al
obiectelor să nu poată accesa obiectul. Modelul formal Bell-LaPadula abordează doar confidențialitatea. Pe asta se
bazează modelul MAC. Bell-LaPadula a stat, de asemenea, baza originalului „Carti portocalii”.
Notă: Bell-LaPadula nu abordează integritatea sau disponibilitatea. Amintiți-vă: Fără citire / Fără notare.
ORANGE CARTE: Cartea Departamentului Apărării „Trusted Computer System Evaluation Criteria (TCSEC)”
sau cartea „Orange”. Cartea Orange necesită ca sistemul să fie configurat ca autonom .
CARTEA ROȘIE: este în două părți „Interpretarea rețelei de încredere a TCSEC” și „Orientări privind mediile de
interpretare a rețelei de încredere: Ghid pentru aplicarea interpretării rețelei de încredere”. Orientările din această
carte sunt la fel de stricte ca și cartea Orange în sine, dar este concepută pentru a funcționa cu medii în rețea .
Controlul accesului centralizat: Toate interogările de control al accesului sunt direcționate către un punct central
de autentificare. Acest tip de sistem permite un singur punct de administrare pentru întregul sistem de control
acces.
Reduce efortul administrativ, dar crește și costurile. Implementarea mai dificilă. Exemplu: Kerberos, Serviciul
utilizatorului cu apelare la autentificare la distanță (RADIUS) și Sistemul de control al accesului pentru controlerul
de acces la terminal (TACACS), TACACS+ (permite criptarea datelor).
7
Sistemul de control al accesului nu este centralizat la un singur sistem informatic sau la un grup de sisteme. Oferă
avantajul de a asigura funcționalitatea sistemului de control al accesului în cazurile în care conectivitatea la un
sistem centralizat de control al accesului este dificilă. Este dificil de menținut un sistem de control al accesului
descentralizat în comparație cu un sistem de control al accesului centralizat. Câteva exemple în acest sens sunt un
grup de lucru Windows în care fiecare membru al grupului de lucru se ocupă de controlul accesului sau un sistem
de bază de date care se ocupă de propria sa autentificare.
1.4.1 RAZĂ
Folosind RADIUS, un server de acces la distanță acceptă acreditările de autentificare de la subiectul de control al
accesului și le transmite serverului RADIUS pentru autentificare. Serverul RADIUS răspunde apoi serverului de
acces la distanță fie cu autorizare, fie cu refuz. Un avantaj major al RADIUS este că comunicarea dintre serverul
RADIUS și serverul de acces la distanță este criptată , ceea ce ajută la creșterea securității generale a controlului
accesului.
1.4.2 TACACS
Mai vechi, nu folosește criptarea și mai rar folosit. Permite o abordare centralizată a controlului accesului care
păstrează toate modificările de control al accesului izolate într-un singur loc. Când serverul TACACS primește
datele de identificare, fie returnează informații de autorizare, fie refuză accesul utilizatorului. Aceste informații
sunt transmise înapoi serverului de acces la distanță în text clar, iar serverul de acces la distanță răspunde în mod
corespunzător. 1.4.3 TACACS+
La fel ca TACACS, în această autentificare informațiile circulă prin rețea într-un format criptat .
8
Ca mai sus atunci
4. TGT este prezentat KDC împreună cu detaliile resursei de la distanță la care clientul necesită acces.
5. KDC returnează clientului un bilet de sesiune.
6. Biletul de sesiune este prezentat resursei de la distanță și accesul este acordat.
Notă: Kerberos NU abordează disponibilitatea.
9
2.0 ADMINISTRARE
2.1 Principii de administrare a securității
Autorizare Un proces prin care un subiect de control al accesului este autentificat și identificat ,
subiectul este autorizat să aibă un anumit nivel sau tip de acces la obiectul de control al
Identificare și accesului. funcționează cu autentificare și este definită ca un proces prin care se stabilește
Identificarea
autentificare identitatea unui obiect. Identificarea are loc prin utilizarea unei forme de autentificare.
Responsabilitate Responsabilitatea în cadrul unui sistem înseamnă că oricine folosește sistemul este urmărit și
considerat responsabil sau responsabil pentru acțiunile lor. Exemplu: pistă sau jurnal de audit
de autentificare, pistă sau jurnal de audit cu elevare a privilegiilor.
Nerepudierea Non-repudierea este un atribut al comunicării care urmărește să prevină negare falsă viitoare
a implicării de către oricare dintre părți. Nerepudierea este, în consecință, un element esențial
al încrederii în e-business.
Cele mai mici Principiul cel mai mic privilegiu prevede că unui utilizator ar trebui să i se acorde suficient
privilegii acces la sistem pentru a-i permite să îndeplinească sarcinile cerute de locul de muncă.
Niveluri ridicate de acces nu ar trebui acordate până când li se cere să îndeplinească funcțiile
de serviciu. Proprietarii informațiilor dintr-un sistem sunt responsabili pentru informații și
sunt autoritatea corespunzătoare pentru autorizarea actualizărilor de nivel de acces pentru
Clasificarea datelor Scopul principal al clasificării datelor este de a indica nivelul de confidențialitate, integritate
și disponibilitate care este necesar pentru fiecare tip de informații. Vă ajută să vă asigurați că
datele sunt protejate în cel mai eficient mod din punct de vedere al costurilor. Proprietarul
datelor decide întotdeauna nivelul de clasificare.
Comercial Militar
Confidenţial
Privat sensibil
Public
Top Secret Secret
Confidențial Sensibil, dar
neclasificat Neclasificat
2.4 Fazele ciclului de viață al sistemului și preocupările de securitate
• Se aplică noilor dezvoltări și îmbunătățirilor și întreținerii sistemelor.
• Securitatea ar trebui inclusă în fiecare fază a ciclului.
• Securitatea nu trebuie abordată la sfârșitul dezvoltării din cauza costurilor, timpului și efortului
suplimentar.
• Separarea sarcinilor trebuie practicată în fiecare fază (de exemplu, programatorul nu are acces la
1
0
producție).
•
Modificările trebuie să fie autorizate, testate și înregistrate. Orice modificare nu trebuie să afecteze
securitatea sistemului sau capacitatea acestuia de a aplica politica de securitate.
Cele șapte faze sunt:
1. Inițierea proiectului (analiza cerințelor)
•
Studiu inițial și conceperea proiectului.
Implicarea InfoSec:
^ Efectuați evaluarea riscurilor pentru:
- Definiți sensibilitatea informațiilor și nivelul de protecție necesar
- Definiți criticitatea riscurilor de sistem și de securitate
- Asigurați-vă că problemele de reglementare/legale/confidențialitate sunt abordate și
respectarea standardelor de securitate
2. Definirea, proiectarea și analiza proiectului (planuri și cerințe software)
• Cerințe funcționale/de proiectare a sistemului
• Asigurați-vă că cerințele pot fi îndeplinite prin cerere.
Implicarea InfoSec:
^ Determinați nivelul acceptabil de risc (nivel de pierdere, procent de pierdere, variație permisă)
^ Identificați cerințele și controalele de securitate
^ Determinați punctele de expunere în proces - adică amenințările și vulnerabilitățile
^ Definiți controale pentru a atenua expunerea
^ Due diligence, răspunderi legale și îngrijire rezonabilă
3. Specificația de proiectare a sistemului
• Planificarea detaliată a componentelor funcționale
• Proiectarea planurilor de testare și controale programelor
Implicarea InfoSec:
^ Încorporați mecanisme de securitate și verificați controalele programului
^ Evaluați opțiunile de criptare
4. Dezvoltare de software
•
Scrierea/implementarea codului/software-ului
Implicarea InfoSec:
^ Elaborați codul legat de securitatea informațiilor
^ Implementați testarea unitară
^ Elaborați documentația
5. Implementare, evaluare si testare
• Instalarea software-ului de sistem și testarea software-ului conform cerințelor
• Documentarea designului intern al software-ului
Implicarea InfoSec:
^ Efectuați teste de acceptare
^ Testați software-ul de securitate
^ Certificare și acreditare (unde este cazul)
6. întreținere
•
Modificări ale produsului și remedieri de erori
Implicarea InfoSec:
^ Testarea de penetrare și evaluarea vulnerabilității
^ Re-certificare
7. Revizuirea sau eliminarea
• Modificare majoră a produsului
• Evaluarea noilor cerințe și luarea deciziei de înlocuire și nu de recodificare
Implicarea InfoSec:
^ Evaluarea defectelor majore de securitate
^ Testarea de securitate a modificărilor majore
2.5 Due Diligence / Due Care
Conceptele de due diligence și de precauție necesită ca o organizație să se angajeze în bune practici de afaceri în raport
cu industria organizației.
Due Diligence este efortul continuu de a ne asigura că politicile, procedurile și standardele corecte sunt aplicate și
respectate. Due diligence poate fi impusă de diverse cerințe legale din industria organizației sau de conformitatea cu
1
1
standardele guvernamentale de reglementare.
Un exemplu de Due Care este instruirea angajaților în conștientizarea securității – spre deosebire de simpla creare a
unei politici fără plan de implementare sau urmărire. Un alt exemplu este solicitarea angajaților să semneze declarații că
au citit și au înțeles politicile adecvate de utilizare acceptabilă.
În termeni simpli, due diligence este responsabilitatea pe care o companie o are de a investiga și identifica problemele ,
iar grija cuvenită înseamnă a face ceva cu privire la constatări.
Odată ce un sistem este construit, procesul de certificare începe să testeze sistemul pentru toate cerințele de securitate și
funcționale. Dacă sistemul îndeplinește toate cerințele, obține acreditare . Sistemele acreditate sunt apoi acceptate în
mediul operațional. Această acceptare se datorează faptului că proprietarii și utilizatorii sistemului au acum un nivel
rezonabil de asigurare că sistemul va funcționa conform intenției, atât din punct de vedere al securității, cât și din punct
de vedere funcțional.
1
2
2.8.3 Modul securizat pe mai multe niveluri (MLS)
Este necesar un permis adecvat pentru TOATE informațiile de pe sistem. Toți utilizatorii care au acces la
sistem trebuie să aibă o autorizație de securitate care să le autorizeze accesul. Utilizează clasificarea datelor și
Controlul de acces obligatoriu (MAC) pentru a securiza sistemul. Procesele și datele sunt controlate.
Procesele de la niveluri de securitate inferioare nu au voie să acceseze procesele de la niveluri superioare.
Toți utilizatorii pot accesa UNE date, în funcție de nevoia lor de a cunoaște, aprobarea formală a
accesului și nivelul de autorizare.
În plus, există mai multe concepte de arhitectură de securitate a sistemului care pot fi aplicate:
2.8.4 Segmentarea hardware
În cadrul unui sistem, alocările de memorie sunt împărțite în segmente care sunt complet separate unele de
altele. Nucleul din sistemul de operare controlează modul în care memoria este alocată fiecărui proces și oferă
suficientă memorie pentru ca procesul să încarce aplicația și datele procesului. Fiecare proces are propria sa
memorie alocată și fiecare segment este protejat unul de celălalt.
2.8.5 Bază de calcul de încredere
Este definită ca combinația totală de mecanisme de protecție din cadrul unui sistem informatic. Include
hardware, software și firmware. Originar din Cartea Portocalie.
Perimetrul de securitate: definit ca resurse care nu fac parte din TCB . Comunicarea dintre componentele de
încredere și componentele care nu sunt de încredere trebuie controlată pentru a se asigura că informațiile
confidențiale nu circulă într-un mod neintenționat.
Monitor de referință: Este o mașină abstractă (sistem de control al accesului ), care mediază tot accesul pe
care subiecții îl au la obiecte pentru a se asigura că subiecții au drepturile de acces necesare și pentru a proteja
obiectele de accesul neautorizat și modificările distructive. Compară nivelul de acces cu clasificarea datelor
pentru a permite/interzice accesul .
Nucleu de securitate: alcătuit din mecanisme (h/w, s/w, firmware) care se încadrează în TCB și
implementează și impun monitorul de referință . La baza TCB și este cea mai comună abordare pentru
construirea de sisteme de încredere. Trebuie izolat de monitorul de referință.
2.8.6 Mecanisme de protecție a datelor
Design stratificat: Designul stratificat este destinat să protejeze operațiunile care sunt efectuate în cadrul
nucleului. Fiecare strat se ocupă cu o activitate specifică: stratul exterior realizează sarcini normale (cel mai
puțin de încredere), iar stratul interior sarcini mai complexe și protejate (cele mai de încredere). Segmentarea
proceselor de acest fel înseamnă că procesele utilizatorilor neîncrezători care rulează în straturile exterioare
nu vor putea corupe sistemul de bază.
Abstracția datelor: Abstracția datelor este procesul de definire a ceea ce este un obiect, ce valori este permis
să aibă și operațiunile care sunt permise împotriva obiectului. Definiția unui obiect este împărțită până la
forma sa cea mai esențială, lăsând doar acele detalii necesare pentru ca sistemul să funcționeze. Ascunderea
datelor: Ascunderea datelor este procesul de ascundere a informațiilor disponibile la un nivel de proces din
modelul stratificat de procesele din alte straturi. Ascunderea datelor este un mecanism de protecție menit să
protejeze procesele de bază ale sistemului de falsificare sau corupție.
2.9 Controlul modificărilor/Gestionarea configurației (p.135-139)
Modificările vor avea loc atât în procesul de dezvoltare a aplicației, cât și în procesul normal de actualizare a rețelei și a
aplicației – solicitantul nu înțelege neapărat impactul acestor modificări. Schimbările sunt inevitabile în fiecare etapă a
dezvoltării sistemului. Controlul schimbărilor nu se aplică la fel de strict procesului de dezvoltare ca și sistemelor de
producție.
Controlul schimbărilor ajută la asigurarea faptului că politicile de securitate și infrastructura care au fost construite
pentru a proteja organizația nu sunt întrerupte de schimbările care apar în sistem de la o zi la alta.
Managementul configurației este procesul de identificare, analiză și control al software-ului și hardware-ului unui
sistem. Procesul începe cu cererea de modificare a configurației trimisă la panoul de control al configurației (CCB).
Consiliul va analiza efectul modificării și îl va aproba sau respinge.
Instrumente utilizate pentru controlul modificărilor / gestionarea configurației: Sumă de control (de ex. MD5
hash), Semnături digitale, IDS, monitoare de integritate a fișierelor, Manager de securitate Enterprise, Gestionare
configurație software. Toate aceste instrumente pot fi folosite pentru a verifica integritatea atât a fișierelor/software-ului
de producție, cât și a celor de dezvoltare și pentru a vă asigura că organizația nu suferă o întrerupere din cauza
modificărilor proaste (adică modificări planificate corect, dar implementate cu defecte din cauza, de exemplu, fișierelor
corupte). .). Ele pot ajuta, de asemenea, la crearea de „imagini de aur” ale datelor/configurațiilor de producție.
Este important să se impună procesul de control al modificării/gestionare a configurației. Unele instrumente pentru
detectarea încălcărilor sunt: NetIQ, PentaSafe, PoliVec și Tripwire. Aceste instrumente oferă soluții de monitorizare a
configurației sistemelor și de avertizare cu privire la modificările care nu sunt efectuate.
1
3
2.10 Politică, standard, linii directoare, linii de bază
Politică de Este o declarație generală scrisă de conducerea superioară pentru a dicta ce tip de rol joacă
securitate securitatea în cadrul organizației - oferă, de asemenea, domeniul de aplicare și direcția pentru
Standarde toată securitatea
Specifică modul ulterioară.
în care vor fi utilizate produsele hardware/software. Furnizați un mijloc pentru a
asigura că tehnologia, aplicațiile, parametrii și procedurile specifice sunt efectuate într-un mod
uniform. Aceste reguli sunt de obicei obligatorii în cadrul unei companii și trebuie să fie aplicate.
Linii de bază Oferă nivelul minim de securitate necesar în întreaga organizație.
Instrucțiuni Sunt acțiuni recomandate și ghiduri operaționale atunci când nu se aplică un anumit standard.
Proceduri Sunt acțiuni pas cu pas pentru a realiza o anumită sarcină.
1
4
2.15 Dezvoltarea comună a unei politici de securitate
Fazele procesului comun de dezvoltare a unei politici de securitate sunt:
Inițială și evaluare Redactarea unei propuneri către management care precizează obiectivele politicii.
Dezvoltare Elaborarea și redactarea politicii propriu-zise, încorporând obiectivele convenite.
Aprobare Procesul de prezentare a politicii către organismul de aprobare.
Publicare Publicarea și distribuirea politicii în cadrul organizației.
Implementarea Realizarea și aplicarea obiectivelor politicii.
întreținere Revizuirea regulată a politicii pentru a asigura moneda (poate fi pe o bază programată).
1
5
3.0 AUDIT ȘI MONITORIZARE
Auditul este procesul de verificare a faptului că un anumit sistem, control, proces, mecanism sau funcție îndeplinește
o listă definită de criterii . Oferă managerilor de securitate capacitatea de a determina conformitatea cu o anumită
politică sau standard. Adesea folosit pentru a furniza managementului superior rapoarte privind eficacitatea
controalelor de securitate. Monitorizarea este procesul de colectare a informațiilor pentru a identifica evenimentele
de securitate și a raporta într-un format pre-descris.
1
6
6. Prezentați - Întocmește raportul de audit și opinia de audit
constatările - Creați recomandări
3.2.3 Surse de date de audit (pag. 192)
Sursele de audit sunt locații de unde pot fi adunate datele de audit, pentru evaluare și analiză. Auditorul
trebuie să ia în considerare întotdeauna obiectivitatea sursei de informații. Sursele de audit pot fi colectate
din mai multe locații, cum ar fi:
- Organigrame - Inventare hardware și software
- Diagrame de topologie de rețea - Interviuri informale cu angajații
- Procesul de afaceri și documentația de dezvoltare - Rapoarte de audit anterioare
Unul dintre cele mai dificile aspecte ale stabilirii unei piste de audit este asigurarea integrității pistei de
audit .
Integritatea traseului de audit este crucială pentru reconstrucția evenimentului unui incident de securitate.
Este important să se protejeze pista de audit de accesul neautorizat și de falsificarea jurnalelor . Se
recomandă utilizarea unei Facilități de înregistrare centrală (CLF) pentru a menține jurnalele de sistem
disparate . Ar trebui luate în considerare și copiile de siguranță ale jurnalelor de audit.
Evaluările jurnalului de audit vor fi efectuate pentru a revizui nivelul de detaliu care ar trebui acoperit,
astfel încât să se poată face inferențe generale despre activitatea gazdei și suficient de granulare pentru a
investiga în continuare un anumit eveniment.
Traseele de audit oferă o metodă de urmărire sau înregistrare care permite urmărirea activităților legate de
securitate. Traseele de audit utile includ:
- Modificări de parolă - Crearea și ștergerea contului
- Utilizare privilegiată - Acces la resurse
- Privilegiul escaladării - Eșecuri de autentificare
Evenimentele de sistem oferă declanșatoare care sunt capturate în urma de audit și utilizate pentru a
demonstra un model de activitate. Următoarele sunt exemple de evenimente urmărite:
- Pornire și oprire - Acțiuni de administrator/operator
- Conectați-vă și deconectați-vă - Respingerea accesului la resurse
- Creați obiectul, ștergeți și modifica - Aprobări de acces la resurse
Eșantionarea și extragerea datelor se efectuează atunci când nu există date originale disponibile . În acest
caz, administratorul ar trebui să folosească tehnici de colectare precum interviuri sau chestionare pentru a
extrage datele dintr-un grup de respondenți. Eșantionarea datelor le permite să extragă informații specifice.
Acesta este cel mai adesea utilizat pentru detectarea activității anormale.
Perioadele de păstrare indică cât timp trebuie păstrate mediile pentru a respecta constrângerile de
reglementare. Întrebarea cheie este „cât timp este suficient”? Depinde în mare măsură de problemele de
reglementare/conformitate.
• Testare de penetrare (p.201): Clasificat ca audit de securitate proactiv, prin testarea controalelor de
securitate printr-o simulare a acțiunilor care pot fi întreprinse de atacatori reali.
Când vă pregătiți pentru un test de penetrare, trebuie generată sau mapată o listă de atacuri care vor
avea loc. Această listă de atacuri poate fi asemănată cu o listă de verificare a auditului. Un test de
penetrare responsabil necesită o coordonare și o planificare atentă pentru a minimiza probabilitatea
unui impact negativ asupra unei organizații.
1
7
Un test de penetrare este procesul autorizat, programat și sistematic de utilizare a vulnerabilităților
cunoscute și de exploatare a acestora în încercarea de a efectua o intruziune în resursele gazdă, rețelei,
fizice sau aplicației.
Testul de penetrare poate fi efectuat pe resurse interne (un sistem de securitate pentru acces la clădire
sau Intranet) sau externe (conexiunea companiei la Internet). Constă în mod normal în utilizarea unei
testari automate și manuale a resurselor organizației. Procesul include.
Lista de verificare a auditului (p.198): Întrebările standard de audit sunt pregătite ca șablon și
utilizate pentru o mare varietate de organizații (de exemplu, SPRINT).
Dacă un auditor se bazează prea mult pe lista de verificare și nu efectuează propria verificare a
detaliilor aferente pe baza observațiilor unice pentru mediu, o defecțiune majoră de securitate ar putea
trece neobservată. Același lucru este valabil și pentru instrumentele software care automatizează
procesul de audit și/sau verifică vulnerabilitățile de securitate (vezi CAAT-urile de mai jos).
Alte tipuri de metode de audit de securitate sunt apelarea în război (pentru a vedea dacă există
modemuri deschise), scufundarea în gunoi (pentru a testa eficiența eliminării în siguranță a
informațiilor confidențiale), ingineria socială (pentru a testa comportamentul de securitate al
angajaților) și conducerea în război. (caut puncte de acces wireless nesecurizate)
Avantajul utilizării CAAT-urilor este automatizarea sarcinilor manuale pentru analiza datelor. Pericolul
folosirii lor este dependența de instrumente care să înlocuiască observația și intuiția umană . Auditorii ar
trebui să folosească CAAT-urile pentru a testa în mod exhaustiv datele în diferite moduri, pentru a testa
integritatea datelor, pentru a identifica tendințele, anomaliile și excepțiile și pentru a promova abordări
creative ale auditurilor, utilizând în același timp aceste instrumente.
Câteva exemple de CAAT (bazate pe mainframe) sunt: EZTrieve, CA-PanAudit, FocAudit și SAS. PC-
urile pot fi, de asemenea, utilizate pentru programele de foi de calcul/bază de date pentru audit sau un
instrument Generalize Audit Software (GAS) poate fi utilizat pentru a efectua aceste funcții de audit - de
exemplu, Integrated Development Environment Application (IDEA)
Un CLF poate colecta și integra date disparate din mai multe sisteme și poate ajuta la determinarea unui
model de atac prin corelarea datelor. De asemenea, poate dezvălui discrepanțe între jurnalele de la distanță
și jurnalele păstrate pe un server protejat - în acest fel poate detecta modificarea jurnalelor.
1
8
Bannerele de avertizare vor avertiza utilizatorii sistemelor cu privire la respectarea politicii de utilizare acceptabilă
și la răspunderea lor legală. Acest lucru se va adăuga la procesul de cerințe legale în timpul urmăririi penale a
utilizatorilor rău intenționați. În plus, bannerele avertizează toți utilizatorii că orice fac pe sisteme este supus
monitorizării.
Monitorizarea tastelor este un proces prin care administratorii de sistem informatic vizualizează sau înregistrează
atât apăsările de taste introduse de un utilizator de computer, cât și răspunsul computerului în timpul unei sesiuni de
la utilizator la computer.
Analiza traficului permite ca datele capturate prin cablu să fie raportate în format lizibil pentru acțiune.
Analiza tendințelor se bazează pe inferențe făcute de-a lungul timpului asupra datelor istorice (în special trafic).
Poate arăta cum o organizație își crește sau scade conformitatea cu politica (sau orice altceva este auditat) în timp.
Monitorizarea evenimentelor oferă alerte sau notificări ori de câte ori este detectată o încălcare a politicii. De
obicei, vin în minte IDS-urile, dar jurnalele de firewall, jurnalele de server/aplicație și multe alte surse pot fi
monitorizate pentru declanșatorii de evenimente. Televiziunea cu circuit închis (CCTV) va monitoriza activitatea
fizică a persoanelor
Monitorizarea hardware este efectuată pentru detectarea defecțiunilor și monitorizarea software-ului pentru
detectarea instalării ilegale a software-ului.
Alarmele și semnalele funcționează cu IDS. O alarmă permite unui administrator să fie conștient de apariția unui
anumit eveniment. Acest lucru poate oferi administratorului șansa de a evita un atac sau de a remedia ceva înainte ca
situația să se agraveze. Aceste notificări pot include paginarea, apelarea unui număr de telefon și livrarea unui mesaj
sau notificarea personalului de monitorizare centralizată
Rapoartele de încălcare sunt utilizate pe scară largă în monitorizarea unui sistem de control al accesului. Acest tip
de raport arată practic orice tentative de acces neautorizat. Aceasta ar putea fi pur și simplu o listă de încercări de
conectare eșuate raportate. A se vedea, de asemenea, Niveluri de tăiere p. 17
Honeypot-urile sunt păstrate în mod deliberat de către organizații pentru a studia comportamentul atacatorilor și, de
asemenea, pentru a atrage atenția de la alte potențiale ținte.
Detectoarele de utilizare greșită analizează activitatea sistemului, căutând evenimente sau seturi de
evenimente care se potrivesc cu un model predefinit de evenimente care descriu un atac cunoscut. Uneori
numită „detecție pe bază de semnătură”. Cea mai comună formă de detectare a utilizării greșite utilizată în
produsele comerciale specifică fiecare tipar de evenimente care corespunde unui atac ca semnătură separată.
Sistemele de detectare a intruziunilor (IDS) oferă o alertă atunci când apare o anomalie care nu se potrivește cu o
linie de bază predefinită sau dacă activitatea în rețea se potrivește cu un anumit model care poate fi recunoscut ca un
atac. Există două tipuri majore de detectare a intruziunilor:
- IDS bazat pe rețea (NIDS) care va detecta tot traficul de rețea și va raporta rezultatele.
- ID-uri bazate pe gazdă (HIDS) care va funcționa pe un anumit sistem și va raporta numai elementele care afectează
acel sistem. Sistemele de detectare a intruziunilor folosesc două abordări:
Atacul cu forță brută: în acest tip de atac, fiecare combinație imaginabilă de litere, numere și simboluri este
încercată sistematic împotriva parolei până când aceasta este spartă. Poate dura un timp incredibil de lung din cauza
diferitelor permutări și combinații care trebuie încercate.
Refuzarea serviciului (DoS): este o situație în care o circumstanță, fie intenționată, fie accidentală, împiedică
sistemul să funcționeze conform intenției sau împiedică utilizatorii legitimi să folosească acel serviciu. În anumite
cazuri, sistemul poate funcționa exact așa cum a fost proiectat, dar nu a fost niciodată destinat să gestioneze sarcina,
domeniul de aplicare sau parametrii care îi sunt impuse. Atacul de refuzare a serviciului este caracterizat printr-o
încercare explicită a atacatorilor de a împiedica utilizatorii legitimi ai unui serviciu să utilizeze acel serviciu.
Exemplele includ:
- Încercările de a „inunda” o rețea, prevenind astfel traficul legitim în rețea.
- Încercarea de a întrerupe conexiunile între două mașini, împiedicând astfel accesul la un serviciu.
- Încercările de a împiedica o anumită persoană să acceseze un serviciu.
1
9
- Încercările de a întrerupe serviciul către un anumit sistem sau persoană.
Distribuit Denial of Service (DDoS): similar cu atacul DoS, dar atacatorul folosește alte sisteme pentru a lansa
atacul de denial of service. Un cal troian ar putea fi plasat pe sistemul „slave” care permite atacatorului să lanseze
atacul din acest sistem.
Spoofing: Spoofing este o formă de atac în care intrusul se preface a fi un alt sistem și încearcă să furnizeze/obțină
date și comunicații care au fost destinate sistemului original. Acest lucru se poate face în mai multe moduri diferite,
inclusiv falsificarea IP, deturnarea sesiunii și falsificarea ARP (Address Resolution Protocol).
Man In The Middle Attacks: Efectuat prin introducerea eficientă a unui sistem intrus în mijlocul căii de
comunicații între alte două sisteme din rețea. Făcând acest lucru, un atacator este capabil să vadă ambele părți ale
conversației dintre sisteme și să extragă date direct din fluxul de comunicații. În plus, intrusul poate introduce date în
fluxul de comunicații, ceea ce le-ar putea permite să efectueze atacuri extinse sau să obțină mai multe date
neautorizate de la sistemul gazdă.
Atacurile de spam: Spam-ul sau trimiterea de mesaje de e-mail nesolicitate este de obicei considerată mai mult o
supărare decât un atac, dar poate fi ambele. Încetinește sistemul, făcându-l incapabil să proceseze mesaje legitime. În
plus, serverele de e-mail au o cantitate finită de capacitate de stocare, care poate fi supraumplută prin trimiterea unui
număr mare de mesaje către server, ducând astfel efectiv la atacuri DoS asupra serverului de e-mail.
Sniffing: Procesul de ascultare/captare a traficului care trece prin rețea, fie folosind un dispozitiv dedicat, fie un
sistem configurat cu software special și o placă de rețea setată în mod promiscuu. Un sniffer stă practic în rețea și
ascultă tot traficul care trece prin rețea. Software-ul asociat cu sniffer este apoi capabil să filtreze traficul capturat,
permițând intrusului să găsească parole și alte date trimise prin rețea în text clar. Sniffer-urile au o funcție validă în
tehnologia informației, permițând analiștilor de rețea să depaneze problemele de rețea, dar pot fi și arme foarte
puternice în mâinile intrușilor.
3.4 FURTUNĂ
TEMPEST este numele de cod al guvernului SUA pentru un set de standarde pentru limitarea emisiilor de radiații
electrice sau electromagnetice de la echipamente electronice, cum ar fi microcipuri, monitoare sau imprimante. Vă
ajută să vă asigurați că dispozitivele nu sunt susceptibile la atacuri precum Van Eck Phreaking.
De exemplu, un nivel de tăiere de trei poate fi setat pentru raportarea încercărilor eșuate de conectare la o stație de
lucru. Astfel, trei sau mai puține încercări de conectare ale unei persoane la o stație de lucru nu vor fi raportate ca o
încălcare (eliminând astfel necesitatea revizuirii erorilor normale de intrare de conectare.)
2
0
4.0 RISC, RĂSPUNS ȘI RECUPERARE
Managementul Identificarea, măsurarea și controlul riscului.
riscurilor a
Evaluare Proces de determinare a relației dintre amenințări și vulnerabilități și controalele existente și
riscurilor impactul rezultat (proces obiectiv).
Analiza de risc Utilizarea unui proces de analiză a riscului determină riscul general (proces subiectiv).
Impactul negativ poate fi pierderea integrității, disponibilității sau confidențialității. RA ar
trebui să recomande controale pentru a atenua riscul (adică contramăsuri).
4.1 Managementul riscurilor (riscuri, amenințări, vulnerabilități și expuneri)
Managementul riscului este procesul ciclic de identificare, măsurare și control al pierderilor asociate evenimentelor
adverse. Include analiza riscurilor, selectarea/evaluarea garanțiilor, analiza cost-beneficiu, implementarea măsurilor de
salvgardare/contramăsuri etc. Este alcătuit din mai mulți pași (p. 231 SSCP):
Identificare Fiecare risc care este potențial dăunător este identificat.
Evaluare Se determină consecințele unei potențiale amenințări și se analizează probabilitatea și frecvența
apariției unui risc.
Planificare Datele care sunt colectate sunt puse într-un format semnificativ, care este utilizat pentru a crea
strategii pentru a diminua sau elimina impactul unui risc.
Monitorizarea Riscurile sunt urmărite și strategiile evaluate pe o bază ciclică - adică, deși un risc a fost tratat,
acesta nu poate fi uitat.
Control Sunt luate măsuri pentru corectarea planurilor care nu funcționează pentru a îmbunătăți
gestionarea riscului
Vulnerabilitate: Slăbiciune a unui sistem informațional care ar putea fi exploatat de un agent de amenințare (de exemplu,
eroare software). Amenințare: Orice pericol potențial , care poate dăuna unui sistem informatic - accidental sau
intenționat (de ex. hacker). Risc: este probabilitatea ca un agent de amenințare să profite de vulnerabilitate .
Risc = Amenințare x Vulnerabilitate
Expunere: Un caz de expunere la pierderi de la un agent de amenințare.
Active: Resursele de afaceri asociate sistemului (tangibile și necorporale). Acestea vor include: hardware, software,
personal, documentație și comunicare informațională etc. Pierderea parțială sau completă a activelor poate afecta
confidențialitatea, integritatea sau disponibilitatea informațiilor sistemului.
Controale: puse în aplicare pentru a reduce, atenua sau transfera riscul. Acestea pot fi fizice, administrative sau tehnice
(vezi p. 4). Ele pot fi, de asemenea, descurajatoare, preventive, corective sau detective (vezi p. 14).
Măsuri de protecție: controale care asigură o anumită protecție activelor.
Contramăsuri: controale care sunt puse în aplicare ca urmare a unei analize de risc pentru a reduce vulnerabilitatea.
Atenuarea riscurilor: Procesul de selectare și implementare a controalelor pentru a reduce riscul la niveluri acceptabile
Notă: Riscurile pot fi reduse , acceptate , gestionate , atenuate , transferate sau considerate că necesită analize
suplimentare.
4.2 Analiza de risc
Pentru a identifica și analiza riscurile trebuie să facem o analiză de risc. Două metodologii generale utilizate pentru analiza
riscului.
4.2.1 Analiza cantitativă a riscului : Rezultatele arată cantitatea în termeni de valoare (bani). Acesta va
oferi cifrele reale în ceea ce privește costurile contramăsurilor și cantitatea de daune care se pot întâmpla.
Procesul este matematic și cunoscut sub numele de modelare a riscului , bazat pe modele de probabilitate.
AV = Valoarea activului ($ € )
EF (Factor de expunere) [Max 100%] = Procentul de pierdere a activelor cauzată de atacuri presupuse reușite.
SLE (Single Loss Expectancy) [este costul] = Valoarea activului x Factorul de expunere
ARO (Rata anualizată de apariție) = Frecvența estimată a unei amenințări într-un an = Probabilitatea ca un
eveniment să aibă loc x numărul de ori care ar putea apărea într-un singur an .
ALE (Anualized Loss Expectancy) = SLE x ARO
ROI (Rentabilitatea investiției) = ALE / Costul anualizat al contramăsurilor ($) [În general, dacă rentabilitatea
investiției este mai mare de 1,0, atunci ar trebui aplicată contramăsura.]
Analiza cost/beneficiu = compară costul unui control cu beneficiile [ALE (înainte) - ALE (după) - Cost anual
= Valoarea garanției] (p.267 din SSCP pentru exemple)
4.2.2 Analiza calitativă a riscului: parcurgeți diferite scenarii de posibilități de risc și clasificați gravitatea
amenințărilor și sensibilitatea activelor. Aceasta oferă rezultate subiective de nivel mai înalt decât analiza
cantitativă a riscului.
2
1
4.3 Instrumente și tehnici de analiză/evaluare a riscurilor
DELFHI Tehnicile Delphi implică un grup de experți care evaluează și clasifică în mod independent riscul
de afaceri pentru un proces de afaceri sau organizație și combină rezultatele într-un consens.
Fiecare expert din grupul Delphi măsoară și prioritizează riscul pentru fiecare element sau criteriu.
COBRA „Analiza de risc consultativă, obiectivă și bifuncțională”. Este un sistem PC cu chestionare care
utilizează principiile sistemului „expert” și o bază extinsă de cunoștințe. Evaluează importanța
relativă a tuturor amenințărilor și vulnerabilităților.
OCTAVĂ Evaluarea amenințărilor critice operaționale, a activelor și a vulnerabilităților (OCTAVE) este o
tehnică de evaluare și planificare strategică bazată pe riscuri pentru securitate.
Metodologia de Pasul 1. Caracterizarea sistemului Pasul 5. Determinarea probabilității
evaluare a Pasul 2. Identificarea amenințărilor Pasul 6. Analiza impactului
riscurilor NIST Pasul 3. Identificarea vulnerabilităților Pasul 7. Determinarea riscului
(SP800-30) Pasul 4. Analiza de control Pasul 8. Recomandări de control
Pasul 9. Documentația rezultatelor
4.4 Recuperare după dezastru
Planificarea redresării în caz de dezastru/afacere este o componentă critică a procesului de planificare a continuității
afacerii.
4.4.1 Planificarea continuității afacerii (BCP) (p.268 SSCP)
BCP este procesul de dezvoltare, documentare și integrare proactivă a proceselor, proceduri care vor permite
unei organizații să răspundă la un dezastru, astfel încât funcțiile critice ale afacerii vor continua cu modificări
minime sau nesemnificative până în momentul în care facilitățile sale normale sunt restaurate. BCP cuprinde
procesul complet de restaurare a tuturor operațiunilor de afaceri .
Deoarece BCP se concentrează pe restabilirea funcțiilor normale de afaceri ale întregii afaceri, este important ca
funcțiile critice ale afacerii să fie identificate. Este responsabilitatea fiecărui departament să definească acele
cerințe care sunt esențiale pentru a-și continua operațiunile . Prin urmare, este important să se evalueze și să
documenteze cerințele pentru fiecare departament în cadrul planului de continuitate a afacerii. Acest lucru se
realizează de obicei printr-o analiză a impactului asupra afacerii (BIA).
Notă: O BIA este de obicei efectuată imediat înainte de a face BCP.
4.4.2 Planificarea recuperării în caz de dezastru (DRP) (p.271 SSCP)
Planurile de recuperare în caz de dezastru ar trebui să documenteze măsurile de precauție luate, astfel încât
efectele unui dezastru să fie minimizate și acțiunile care trebuie luate pentru a permite organizației fie să
mențină, fie să reia rapid sistemele critice pentru afaceri .1) Răspuns în caz de urgență 2) Backup 3)
Recuperare
BCP abordează restabilirea funcțiilor cheie de afaceri , în timp ce un DRP se concentrează pe restaurarea
sistemelor informaționale .
4.4.3 Backup-uri (p.277 SSCP)
Backup complet Face backup pentru toate datele într-o singură lucrare de rezervă. Schimbă bitul de
incremental arhivă.
Face backup pentru toate datele de la ultima copie de rezervă (adică noi și modificate).
Diferenţial Face backup pentru toate datele modificate de la ultima copie de rezervă completă . Nu
Copiere de schimbă
Face bitulde
o copie derezervă
arhivă. completă, dar nu schimbă bitul de arhivă
rezervă
Programul obișnuit de rotație a benzilor este Bunicul (backup lunar complet) - Tatăl (săptămânal) - Fiul (zilnic)
De asemenea, este important ca o copie de rezervă să fie la fel de bună în măsura în care capacitatea sa de a fi
restaurată - restaurările de test ale datelor trebuie efectuate în mod regulat.
4.4.4 Analiza impactului asupra afacerii (BIA)
Este un proces folosit pentru a ajuta unitățile de afaceri să înțeleagă impactul unui eveniment perturbator.
Impactul poate fi financiar (cantitativ – pierderea valorii stocului) sau operațional (calitativ – incapabil să
răspundă clientului). Un BIA identifică sistemele critice ale companiei necesare pentru supraviețuire și
estimează timpul de întrerupere care poate fi tolerat. Primul pas al unui BIA este identificarea tuturor unităților
de afaceri din cadrul organizației (apoi le intervieviți pentru a determina criticitatea acesteia).
4.4.5 Testarea planurilor de recuperare în caz de dezastru: există diferite metode de testare a DRP:
• Testul listei de verificare: Copii ale planului sunt distribuite conducerii/participantului pentru
revizuire.
• Test de prezentare structurată: conducerea unității de afaceri se întâlnește într-o cameră pentru a
revizui planul.
• Test de simulare: Tot personalul de asistență se întâlnește într-o sesiune de execuție de practică.
• Test în paralel: testare în direct completă fără a dezactiva sistemul operațional (de exemplu, la
punere în scenă)
2
2
•dezastru.
Test de întrerupere completă: producție normală oprită, cu procese reale de recuperare în caz de
2
3
Coroborative : dovezi justificative utilizate pentru a ajuta la demonstrarea unei idei sau a unui punct. Nu poate sta pe cont
propriu, dar este folosit ca un instrument suplimentar pentru a ajuta la dovedirea unei probe primare.
Din auzite : Cunoscută și sub numele de dovezi second-hand. Dovezi care nu se bazează pe personal, de primă mână
cunoașterea martorului, dar a fost obținută dintr-o altă sursă. De obicei, nu este admisibil în instanță
(regula auzitelor), deși există excepții. Dovezile bazate pe computer sunt considerate a fi auzite, dar
sunt admisibile dacă sunt relevante .
5.0 CRIPTOGRAFIE
Criptografie: Știința scrierii secrete care vă permite să stocați și să transmiteți date într-o formă care este disponibilă
numai persoanelor vizate.
Criptosistem: implementare hardware sau software a criptografiei care transformă un mesaj în text cifrat și înapoi în text
simplu.
Criptoanaliza/Cryptanalysis: Recuperarea textului simplu din text cifrat fără cheie sau întreruperea criptării.
Criptologie: Studiul atât al criptografiei, cât și al criptoanalizei.
Text cifrat: date în format criptat sau ilizibil.
Cifrare: conversia datelor într-un format care nu poate fi citit.
Descifrare: convertirea datelor într-un format care poate fi citit.
Criptovariabilă (cheie): secvență secretă de biți (cheie) utilizată pentru criptare și decriptare.
Steganografie: arta de a ascunde existența unui mesaj într-un mediu diferit (de exemplu, în jpg, mp3 etc.)
Chei escrow: cheile unității sunt împărțite în două secțiuni și date la două agenții de escrow diferite pentru a le menține.
Sistemele criptografice
Cum este procesat textul Cifre de flux (p.348 SSCP) : Cifrele de flux sunt algoritmi simetrici care funcționează bit
simplu cu bit pe text simplu . Algoritmii de cifrare în flux creează un flux de chei care este
combinat cu textul simplu pentru a crea textul cifrat. Ca și în cazul altor cifruri, procesarea
textului simplu utilizează o operație XOR. De exemplu, cifrul fluxului este RC4.
Cifrare bloc (p.346 SSCP) : Criptează datele în bucăți discrete de dimensiune fixă .
Cifrurile bloc sunt simetrice - folosesc aceeași cheie secretă pentru criptare și decriptare.
De obicei, dimensiunea blocului va fi de 64 de biți, dar cifrurile pot suporta blocuri de
orice dimensiune, în funcție de implementare. Cifrurile bloc pe 128 de biți devin comune.
Algoritmi utilizați sau Algoritmi de criptare simetrică : Cunoscuți și ca cheie privată, deoarece este utilizată o
numărul de chei singură cheie și trebuie păstrată secretă pentru securitate. Ambele părți vor folosi aceeași
utilizate. cheie pentru criptare și decriptare. Mult mai rapid decât sistemele asimetrice, greu de spart
dacă folosiți o cheie de dimensiune mare. Distribuția cheilor necesită un mecanism sigur
pentru livrarea cheilor. Securitate limitată, deoarece oferă doar confidențialitate. „Metoda
în afara benzii” înseamnă că cheia este transmisă prin alt canal decât mesajul.
2
4
Advanced Encryption Standard (AES): standard de înlocuire NIST pentru DES bazat pe Rijndael. AES este un cifr de
bloc cu un bloc variabil și lungimea cheii. Utilizează o transformare rotundă care este compusă din trei straturi de
transformări distincte și inversabile : Stratul neliniar; Stratul de amestec liniar; Stratul de adăugare cheie. AES are 3
opțiuni de lungime a cheii: 128, 192 și 256 de biți .
Algoritmul internațional de criptare a datelor (IDEA): se utilizează cheia de 128 de biți . Cifrul bloc operează pe
blocuri de date de 64 de biți. Blocul de date de 64 de octeți este împărțit în 16 blocuri mai mici și fiecare are opt runde de
funcții matematice efectuate pe el. Folosit în PGP .
Skipjack: Folosit pentru dispozitive electronice de criptare (hardware) . Acest lucru îl face unic, deoarece ceilalți
algoritmi pot fi implementați fie în hardware, fie în software. SkipJack funcționează într-un mod similar cu DES, dar
folosește o cheie de 80 de biți și 32 de runde, mai degrabă decât chei de 56 de biți și 16 runde (DES).
Blowfish: un cifru bloc care funcționează pe blocuri de date pe 64 de biți. Lungimea cheii poate fi de până la 448 de biți,
iar blocurile de date trec prin 16 runde de funcții criptografice.
RC4/5: Un cifru bloc care are o varietate de parametri pe care îi poate folosi pentru dimensiunea blocului, dimensiunea
cheii și numărul de runde utilizate. Dimensiuni bloc: 32/64/128 și dimensiunea cheii de până la 2048 biți.
2
5
SHA: Produce valori hash de 160 de biți . Acesta este apoi introdus în DSA, care calculează semnătura pentru
un mesaj. Rezumatul mesajului este semnat în locul întregului mesaj.
SHA-1: versiunea actualizată a SHA.
HAVAL: Este o funcție hash unidirecțională cu lungime variabilă și este modificarea mai rapidă a MD5.
Procesează textul în blocuri de 1024 de biți. HAVAL comprimă un mesaj de lungime arbitrară într-un rezumat
de 128, 160, 192, 224 sau 256 de biți. În plus, HAVAL are un parametru care controlează numărul de treceri pe
care un bloc de mesaje (de 1024 de biți) este procesat. Un bloc de mesaje poate fi procesat în 3, 4 sau 5 treceri.
Hash Salting : Se referă la procesul de adăugare a datelor aleatorii la valoarea hash. Multe hashuri au puncte slabe sau ar
putea fi căutate într-un tabel de căutare hash (dacă tabelul ar fi suficient de mare și computerul suficient de rapid). Sărarea
hașișului anulează această slăbiciune. Protocoalele criptografice care folosesc săruri includ SSL.
2
6
cadru deschis, modular, care oferă multă flexibilitate. Potrivit numai pentru a proteja protocoalele de la nivelul superior.
IPSec folosește două protocoale: AH și ESP.
AH (Authentication Header): acceptă controlul accesului, autentificarea originii datelor și integritatea fără
conexiune. AH oferă integritate, autentificare și non-repudiere - NU oferă confidențialitate. ESP
(Încapsulating Security Payload) : Utilizează un mecanism criptografic pentru a oferi autentificarea sursei
(prin antet IP), confidențialitatea și integritatea mesajului.
IPSec funcționează în două moduri:
1. Mod de transport : Numai sarcina utilă a mesajului este criptată. (pentru peer-to-peer)
2. Modul tunel : informațiile despre sarcina utilă, rutarea și antetul sunt criptate. (pentru gateway-to-
gateway)
2
7
6.0 COMUNICAȚII DE DATE
6.1 Modele de comunicare de date:
TCP/IP OSI Descriere
7 Aplicație Oferă diferite servicii aplicațiilor (HTTP, FTP, Telnet, SET, HTTP-S). Oferă
non-repudierea la nivel de aplicație.
Aplicație 6
Prezentare Convertește informațiile (ASCII, JPEG, MIDI, MPEG, GIF)
5
Sesiune Se ocupă de probleme care nu sunt probleme de comunicare (PPP, SQL,
Gateway, NetBEUI)
Transport 4 Transport Oferă control al comunicațiilor de la capăt la capăt (TCP, UDP, TLS/SSL)
Internet 3
Rețea (pachete) Rutează informațiile în rețea (IP, IPX, ICMP, RIP, OSPF, IPSec, routere)
2 Link de date (cadru) Oferă controlul erorilor între nodurile adiacente (Ethernet, Token Ring, FDDI,
Reţea SLIP, PPP, RARP, L2F, L2TP, PPTP, FDDI, ISDN, 802.11, comutatoare,
poduri)
1 fizic (biți) Conectează entitatea la mediul de transmisie (UTP, coaxial, niveluri de
tensiune, semnalizare, hub-uri, repetoare) convertește biții în tensiune pentru
transmisie.
Stratul de sesiune permite comunicarea între două computere să aibă loc în trei moduri diferite:
1. Simplex: Comunicarea are loc într-o singură direcție.
2. Half-duplex: Comunicarea are loc în ambele direcții, dar doar un sistem poate trimite informații la un moment dat.
3. Full-duplex: Comunicarea are loc în ambele direcții și ambele sisteme pot trimite informații în același timp.
Datalink (Layer 2) responsabil în primul rând pentru corectarea erorilor la nivel de biți
Transport (nivelul 4) responsabil în primul rând pentru corectarea erorilor la nivel de pachet
DATE
Antet aplicație DATE
Segmentul TCP Antet TCP AplicațieDate
Datagrama IP antet IP Antet TCP AplicațieDate
Antet Ethernet antet IP Antet TCP .Application Data Trailer Ethernet 4,
Cadru Ethrnet -
Notă: Antetul IP conține un câmp de protocol. Valorile comune sunt 1=ICMP 2=IGMP 6=TCP 17=UDP
Strângere de mână TCP:
1. Gazda trimite un pachet SYN 2. Receptorul răspunde cu un pachet SYN/ACK 3. Gazda trimite un pachet ACK
UDP: Este un protocol orientat spre cel mai bun efort și fără conexiune . Nu are control de secvențiere a pachetelor, flux și
congestie, iar destinația nu acceptă fiecare pachet pe care îl primește. Există mai puține costuri generale în pachetul UDP.
TCP și UDP folosesc numere de porturi cu lungime de 16 biți
Amintiți-vă, doar TCP este orientat spre conexiune (IP-ul NU este)
TCP eu DP
Aplicație Curent Mesaj
Transport Segment Pachet
Internet Datagrama Datagrama
Reţea rama ' • Cadru
6.3 Tipuri comune de sisteme LAN
Ethernet (802.3)
Ethernet folosește o topologie magistrală sau stea și acceptă rate de transfer de date de 10 Mbps. Bazat pe specificațiile
2
8
IEEE 802.3. Este unul dintre standardele LAN cele mai implementate. Versiunile mai recente de Ethernet, numite
100Base-T (sau Fast Ethernet), acceptă rate de transfer de date de 100 Mbps, iar gigabit Ethernet acceptă rate de date de 1
gigabit (1.000 megabiți) pe secundă. O adresă Ethernet (denumită și adresă MAC fizică) folosește 48 de biți.
Token Ring (802.5)
Un tip de rețea de calculatoare în care toate computerele sunt aranjate logic într-un cerc. Un jeton, care este un model
special de biți, călătorește în jurul cercului. Pentru a trimite un mesaj, un computer prinde jetonul, îi atașează un mesaj și
apoi îl lasă să continue să călătorească prin rețea. Indiferent de dispozitivul care are simbolul, poate introduce date în rețea.
Stația scoate apoi jetonul din inel și începe să transmită. Deoarece există un singur token, o singură stație poate transmite
la un moment dat, evitând astfel coliziunile pe canal . După terminarea transmisiei, stația returnează jetonul în inel.
Regulile de sistem din specificațiile protocolului impun cât timp un dispozitiv poate păstra jetonul, cât timp poate
transmite și cum să genereze un nou jeton dacă nu există unul care circulă.
FDDI (Interfață de date distribuite prin fibră)
Un set de protocoale ANSI pentru trimiterea de date digitale prin cablu de fibră optică. Rețelele FDDI sunt rețele care
transmit token și acceptă rate de date de până la 100 Mbps. Rețelele FDDI sunt utilizate în mod obișnuit ca coloană
vertebrală pentru rețelele cu arie largă. O extensie a FDDI, numită FDDI-2, acceptă transmiterea de informații vocale și
video, precum și de date. O altă variantă a FDDI, numită FDDI Full Duplex Technology (FFDT) utilizează aceeași
infrastructură de rețea, dar poate suporta rate de date de până la 200 Mbps. Folosește 2 inele - unul pentru redundanță.
6.4 Cablare
Cablu coaxial: Rezistent la EMI (interferență electromagnetică), oferă o lățime de bandă mai mare și lungimi de cablu
mai mari în comparație cu perechea torsadată . Poate transmite folosind atât metode în bandă de bază, cât și în bandă largă.
10base2 : ThinNet, cablu coaxial, lungime maximă 185 m , oferă 10 Mbps. 10base5 : Thicknet, cablu coaxial, lungime
maximă 500 m , oferă 10 Mbps
Pereche răsucită: mai ieftin și mai ușor de lucrat decât cablul coaxial și este un cablu folosit în mod obișnuit. Perechea
răsucită ecranată (STP - 2 fire) are o folie de ecranare exterioară, care este o protecție suplimentară împotriva
interferențelor de radiofrecvență. Perechea răsucită neecranată (UTP - 4 fire) are diferite categorii de cablare cu
caracteristici diferite. Conectorul fizic folosit pentru conectarea PC-urilor și a dispozitivelor de rețea se numește RJ-45.
10base-T : Utilizează cablare cu perechi răsucite, oferă 10 Mbps, lungime maximă 100 m.
Fast Ethernet : Utilizează cablare cu perechi răsucite, oferă 100 Mbps.
Cablare cu fibră optică: are viteze de transmisie mai mari care pot călători pe distanțe mai lungi și nu este afectată de
atenuare și EMI în comparație cu cablurile care utilizează cupru. Este folosit pentru a conecta două rețele LAN. Nu emite
semnale precum cablarea UTP și este foarte greu de accesat. Complexitatea realizării conexiunilor folosind fibră este unul
dintre dezavantajele sale majore și, de asemenea, este costisitoare.
2
9
6.6.1 Metode de acces LAN
6.7 Rețele
Rețea locală (LAN)
Se întinde pe o zonă geografică relativ mică. Majoritatea rețelelor LAN sunt limitate la o singură clădire sau la un grup de
clădiri. Cardul de interfață de rețea (NIC) conectează computerele. Două tipuri de LAN (1) LAN cu fir și (2) LAN wireless
Wide Area Network (WAN)
Rețele LAN conectate împreună la distanță prin linii telefonice/unde radio/fibră. Rețele dedicate de mare viteză (linii
închiriate sau rețea punct la punct). WAN-urile securizate pot fi create folosind IPSec.
Rețeaua Metropolitană (MAN)
Similar cu WAN - MAN sunt linii de comunicații de mare viteză și echipamente care acoperă o zonă metropolitană.
Intranet: O rețea aparținând unei organizații, de obicei o corporație, accesibilă doar de către membrii organizației,
angajații sau alții cu autorizație (Rețea privată). Intranet-urile sunt folosite pentru a partaja informații. Internet: O rețea
globală care conectează milioane de computere (interconectare globală a LAN, WAN și MAN). Internetul este
descentralizat prin design. Fiecare computer pe internet, numit gazdă, este independent.
Extranet: un intranet care este parțial accesibil persoanelor din afara autorizate. Un extranet oferă diverse niveluri de
accesibilitate persoanelor din afară, mijloace foarte populare pentru partenerii de afaceri de a face schimb de informații.
3
0
6.10 Dispozitive de rețea
Hub sau Stratul fizic (OSI Transmite toate pachetele către toate porturile . Când primește un pachet, transmite
Repetitor Layer 1) (repetă) pachetul către toate porturile sale (la toate celelalte PC-uri din rețea).
Acest lucru poate duce la trimiterea multor trafic inutil în rețea.
Pod Strat de legătură de Redirecționează pachete și filtre pe baza adreselor MAC ; transmite traficul
date (OSI Layer 2) transmis, dar nu traficul de coliziune. Poate fi folosit pentru extinderea rețelelor.
Comutatoar Strat de legătură de Comutatoare controlează fluxul de trafic de rețea pe baza informațiilor despre
e date (OSI Layer 2) adrese din fiecare pachet. Un comutator este un hub inteligent , care învață ce
dispozitive (adăugarea MAC ) sunt conectate la porturile sale și redirecționează
Reduce volumul de trafic inutil.
Routere Stratul de rețea Un dispozitiv care transmite pachete de date de-a lungul rețelelor. Un router este
(OSI Layer 3) conectat la cel puțin două rețele. Routerele folosesc antete și tabele de
redirecționare pentru a determina cea mai bună cale pentru redirecționarea
pachetelor.
Gateway este un nod dintr-o rețea care servește drept intrare în altă rețea.
Proxy-urile interceptează toate solicitările, care ajung la serverul real de la client. Este, în general, folosit pentru
performanță și pentru motive de filtrare. Aceasta va ascunde și adresa IP internă (privată).
Filtru de Cel mai comun tip de firewall. Plasat între Adv.: Ieftin, poate să nu aibă nevoie de hardware
pachete, aka rețeaua de încredere și cea netestată. dedicat (poate folosi router), ușor de configurat.
router de Utilizează ACL-uri pentru a filtra traficul. Dis: ACL-uri dificil de întreținut, degradarea
screening performanței rețelei.
(Stratul 3 sau 4) Inspectează toate pachetele la nivelul Adv: Mai sigur decât filtrarea pachetelor - poate
Aplicație Proxy aplicației pentru a filtra comenzile specifice spune ce aplicație încearcă să folosească pachetul.
(alias gazdă aplicației, cum ar fi http: post and get etc. Dis: necesită mai multă procesare a datelor și poate
Bastion SAU Utilizează de obicei 2 NIC-uri încetini și mai mult performanța rețelei.
Strat/Nivel de
aplicație)
Stateful Monitorizează pachetele pentru a le filtra și, Adv: Mai rapid decât aplicația-proxy și mai sigur
Inspecție de asemenea, starea conexiunilor. (de ex. va decât filtrarea pachetelor.
(Stratul 3) închide o conexiune pe jumătate deschisă). Dis: scump.
Gazdă Utilizează un firewall/router cu filtrare de Adv: Foarte sigur
ecranizată pachete și o gazdă bastion (proxy- Dis: Firewall-ul/routerul de filtrare a pachetelor este
aplicație). un singur punct de atac.
Subrețea Utilizează două firewall/routere cu filtrare Adv: Considerat cel mai sigur tip de firewall. Dis:
ecranată de pachete și o gazdă bastion. Separă Firewall-ul/routerul de filtrare a pachetelor este un
internet - dmz - rețele externe. Suporta singur punct de atac, dar pentru că există un al doilea
ambele pachete servicii de filtrare și care protejează rețeaua internă, acesta este în
aplicație-proxy continuare securizat.
6.12 Protocoale
Protocol Internet (IP): vezi anterior (p.25)
Protocolul de control al transmisiei (TCP): vezi anterior (p.25)
Protocolul de datagramă utilizator (UDP): vezi anterior (p.25)
NetBios Extended User Interface (NetBEUI): Este o versiune îmbunătățită a protocolului NetBIOS utilizat de sistemele
de operare de rețea, cum ar fi LAN Manager. NetBIOS funcționează la nivelul 5 (Sesiune).
3
1
RADIUS folosește UDP împreună cu modelul client și server. RADIUS criptează doar parola, restul pachetului este
necriptat. O terță parte ar putea capta alte informații, cum ar fi numele de utilizator, serviciile autorizate. RADIUS
combină autentificarea și autorizarea.
TACACS (Terminal Access Controller Access Control System): Oferă autentificare la distanță și înregistrare a
evenimentelor folosind UDP ca protocol de comunicare. Utilizatorul încearcă să se autentifice pe un dispozitiv TACACS,
dispozitivul se referă la serverul TACACS pentru autentificarea utilizatorului. Aceasta oferă o locație centrală pentru
stocarea tuturor numelor de utilizator și parolelor. Nu permite unui dispozitiv să solicite unui utilizator să îi permită să-și
schimbe parola. De asemenea, nu utilizează simboluri de parolă dinamice. Informația NU este criptată .
TACACS+ (Terminal Server Controller Access Control Systems Plus): Oferă îmbunătățiri la versiunea standard a
TACACS. Permite utilizatorilor posibilitatea de a-și schimba parola; jetoane de parolă dinamice, astfel încât jetoanele să
poată fi resincronizate; oferă, de asemenea, capacități de auditare mai bune. TACACS+ folosește TCP ca protocol de
comunicare. Criptează întregul corp al pachetului, dar lasă un antet standard TACACS+.
PPP - Point-to-Point: Este folosit pentru a încapsula mesaje și a le transmite printr-o rețea IP.
PAP - Password Authentication Protocol: Oferă identificarea și autentificarea utilizatorului care încearcă să acceseze o
rețea de la sistemul de la distanță. (Utilizatorul trebuie să introducă o parolă). Numele utilizatorului și parola sunt trimise
prin cablu către un server, pentru comparare cu baza de date. Adulmecarea este posibilă deoarece parola poate fi capturată.
CHAP - Challenge Handshake Authentication Protocol: Un protocol de autentificare care folosește mecanism de
provocare/răspuns pentru a se autentifica în loc să trimită un nume de utilizator și o parolă. Evită trimiterea de parole sub
orice formă prin cablu folosind o tehnică de provocare/răspuns. CHAP este mai bun decât PAP. Autentificarea poate fi
repetată de orice număr de ori pentru a se asigura că atacurile „Replay” nu sunt posibile.
Serial Line Internet Protocol (SLIP) și Point-to-Point Protocol (PPP): Funcționează la nivelul 2 (Datalink) pentru a
conecta două sisteme pe o linie serială (linie de comunicație punct la punct folosind un modem dial-up) , este nevoie de o
anumită modalitate de a transporta pachetele IP (o activitate de nivel de rețea) prin legătura serială (o activitate de la
nivelul de legătură de date). Următoarele două scheme utilizate în general, SLIP și PPP . PPP a înlocuit SLIP, deoarece
acesta nu face detectarea erorilor, atribuirea dinamică a adreselor IP și compresia datelor.
Protocolul de tunelizare punct la punct (PPTP): PPTP a fost dezvoltat de Microsoft pentru a oferi servicii virtuale de
dial-up. PPTP este un protocol de încapsulare bazat pe PPP și criptează și încapsulează pachetele PPP.
Layer 2 Tunneling Protocol (L2TP): Extinderea protocolului punct la punct (PPP). L2TP este, de asemenea, numit
„protocol virtual de dial-up” deoarece extinde o sesiune PPP de dial-up pe Internet. Cadrele PPP ale clientului sunt
încapsulate în pachete IP cu un antet de tunel L2TP și trimise prin conexiunea la Internet.
L2TP a fost derivat din caracteristicile PPTP și protocolul Cisco numit L2F (Layer 2 Forwarding).
- L2TP acceptă autentificarea TACACS+ și RADIUS. PPTP nu.
- L2TP acceptă, de asemenea, mai multe protocoale decât PPTP, inclusiv IPX, SNA și altele.
- Microsoft continuă să accepte PPTP pentru produsele sale Windows, dar L2TP este preferat față de PPTP.
- IPSec este acum standardul de internet pentru tunelare și VPN-uri securizate.
Layer 2 Forward Protocol (L2F): Folosit pentru a stabili un tunel securizat pe Internet dezvoltat de Cisco. Acest tunel
creează o conexiune virtuală punct la punct între utilizator și rețeaua clientului companiei. L2F permite încapsularea
pachetelor PPP/SLIP în L2F. Nu este folosit de IPSec. Este folosit de VPN-uri.
Notă: Internet Assigned Numbers Authority (IANA) a rezervat 3 blocuri de adrese IP pentru utilizare în rețelele private
3
2
interne. Toate aceste adrese nu sunt rutabile și nu pot fi conectate la Internet:
1.1. .0.0 până la 10.255.255.255 (utilizat pentru organizații mari)
172.16. 0.0 până la 172.31.255.255 (utilizat pentru intranet medii)
192.168. 0.0 până la 192.168.255.255 (utilizat pentru intranetele mici)
Rețea privată virtuală (VPN): o conexiune privată securizată printr-o rețea publică. O rețea privată virtuală este crearea
de legături private prin rețele publice, cum ar fi Internetul, folosind tehnici de criptare și tunel. Înainte de IPSec, L2TP
(Layer 2 Tunneling Protocol) a fost folosit pentru a încapsula pachetele IP în pachete de „tunnel” care ascund structura de
rutare Internet de bază. În general, sunt utilizate două tipuri de VPN.
1) Acces de la distanță: conexiune utilizator la LAN printr-o rețea publică sau partajată, pentru angajații care
au nevoie să se conecteze la rețeaua LAN corporativă de la distanță. Sistemele utilizatorilor vor fi încărcate cu
software client special care permite o legătură sigură între ele și LAN-ul corporativ.
2) De la site la site: VPN conectează site-uri fixe la o rețea LAN corporativă prin Internet sau intranet.
Intervalele de adrese IP
Tipuri de adrese Incepe cu
Adrese de clasa A 0-127 (128)
Adrese de clasa B 128-191 (64)
Adrese de clasa C 192-223 (32)
Adrese de clasa D 224-239 (16)
3
3
7.0 COD RAȚIUNI
Virus Este un program sau o bucată de cod, care a fost încărcat fără permisiune, se poate ascunde, poate
se reproduce singur și se poate atașa la orice alt program. Virusul va încerca să facă lucruri
nedorite/nedorite.
Vierme Un program care se poate replica într-o rețea de calculatoare și, de obicei, funcționează
acțiuni rău intenționate.
Troian Horses Un program distructiv, care a fost introdus într-un program aparent inofensiv. Acest program poate
îndeplini funcția dorită în prim-plan, precum și funcția nedorită în fundal.
Bombă logică O bombă logică este un program, sau o porțiune a unui program, care rămâne latentă până când este
activată o anumită parte din logica programului sau un eveniment de sistem. Dacă logica specifică
este îndeplinită, atunci va efectua în general o activitate care compromite securitatea.
Sector de pornire: virușii din sectorul de pornire infectează înregistrarea de boot de pe hard disk-uri, dischete. Dacă
computerul infectat pornește cu succes, atunci virusul sectorului de pornire rămâne în memorie și infectează dischetele și
alte medii atunci când computerul infectat le scrie.
Master Boot Record (MBR): Foarte asemănător cu virușii din sectorul de boot, cu excepția faptului că infectează MBR
(Master Boot Record) în loc de sectorul de boot.
Viruși care infectează fișierele: Infectează fișierele, care conțin cod executabil, cum ar fi fișierele .EXE și .COM,
infectează alte fișiere atunci când sunt executate.
Macro: Virușii macro infectează anumite tipuri de fișiere de date. Majoritatea virușilor macro infectează fișierele
Microsoft Office, cum ar fi documentele Word, foile de calcul Excel, prezentările PowerPoint și bazele de date Access.
Acestea folosesc de obicei limbajul macro Visual Basic, care este încorporat în aplicațiile Microsoft Office.
Cod sursă: Acești viruși adaugă cod la codul sursă al programului real.
Polimorf: un virus care își schimbă semnătura virusului (adică, modelul său binar) de fiecare dată când replic și infectează
un fișier nou pentru a nu fi detectat de un program antivirus.
Stealth: Pentru a evita detectarea, un virus va prelua adesea funcțiile sistemului care ar putea să-l detecteze și le va folosi
pentru a se ascunde.
Multi-partiți: virușii multi-partiți au caracteristicile mai multor tipuri de virus (aceștia au personalitate duel). De exemplu,
un virus cu mai multe partite poate infecta atât înregistrarea de pornire, cât și fișierele de program.
Viruși de camuflaj: viruși care au încercat să apară ca un program inofensiv pentru scanere. (Tip de virus mai
vechi/învechit).
- Atacuri de rețea: încercarea de a obține numele de utilizator și parola prin forțare brută sau atac de dicționar. După
exploatarea cu succes, introducerea unui fișier de virus sau cod rău intenționat.
- Spoofing (masquerading): trimiterea de e-mailuri care pare să provină dintr-o sursă atunci când de fapt a fost
trimis dintr-o altă sursă.
- Modificarea codului autorizat și introducerea codului rău intenționat.
- Spam sau bombardare prin e-mail: trimiterea de e-mailuri către sute sau mii de utilizatori cu un fișier de virus
atașat.
- Active-X: set de tehnologii independente de platformă dezvoltate de Microsoft care permit componentelor
software să interacționeze între ele într-un mediu de rețea. Această funcționalitate a componentelor Active X poate
fi exploatată de coduri mobile rău intenționate.
- Cod mobil: Cod care poate fi transferat de la un sistem la un alt sistem pentru a fi executat (ex. Java, ActiveX etc.)
- Trapă: mecanism, care este construit în mod intenționat adesea în scopul de a oferi acces direct. Cod ascuns sau
dispozitiv hardware folosit pentru a evita controalele de securitate.
7.3 Mecanisme care pot fi utilizate pentru prevenirea, detectarea atacurilor de coduri rău
intenționate
În general, programul software antivirus va fi utilizat în combinație cu Scanarea, Verificarea integrității și Interceptarea.
De asemenea, ar trebui să încercați să vă asigurați:
3
4
- Utilizarea software-ului antivirus).
- Menținerea la zi a fișierelor cu definiții de viruși
- Scanarea în rețea, mainframe, server și stație de lucru pentru vulnerabilități
- Încărcarea software-ului numai din surse de încredere
- Securitatea fizică a suporturilor amovibile
- Efectuarea de copii de rezervă frecvente
- Instalarea software-ului de detectare a modificărilor (verificator de integritate)
- Implementați un program de conștientizare a utilizatorilor
Atacul SYN: Apare atunci când un atacator exploatează utilizarea spațiului tampon în timpul unei strângeri de mână de
inițializare a sesiunii TCP. Atacatorul inundă coada mică „în proces” a sistemului țintă cu solicitări de conexiune, dar nu
răspunde când un sistem țintă răspunde la aceste solicitări. Acest lucru face ca sistemul țintă să „expiră timpul” în timp ce
așteaptă răspunsul adecvat, ceea ce face ca sistemul să se blocheze sau să devină inutilizabil.
Teardrop Attack: Constă în modificarea câmpurilor de compensare a lungimii și fragmentării în pachete IP secvențiale.
Sistemul țintă devine apoi confuz și se blochează după ce primește instrucțiuni contradictorii despre modul în care
fragmentele sunt compensate pe aceste pachete.
Smurf: folosește o combinație de falsificare IP și ICMP pentru a satura o rețea țintă cu trafic, lansând astfel un atac de tip
denial of service. Este format din trei elemente - site-ul sursă, site-ul de respingere și site-ul țintă. Atacatorul (site-ul sursă)
trimite un pachet PING falsificat la adresa de difuzare a unei rețele mari (site-ul de respingere). Acest pachet modificat
conține adresa site-ului țintă. Acest lucru face ca site-ul de respingere să transmită informații greșite către toate
dispozitivele din rețeaua locală. Toate aceste dispozitive răspund acum cu un răspuns la sistemul țintă, care este apoi
saturat cu acele răspunsuri.
Atacuri de falsificare IP: implică o modificare a unui pachet la nivel TCP, care este utilizat pentru a ataca sistemele
conectate la Internet care oferă diverse servicii TCP/IP. Atacatorul trimite un pachet cu o adresă sursă IP a unei gazde
cunoscute și de încredere pentru a convinge un sistem că comunică cu o entitate cunoscută care oferă acces intrusului.
Această gazdă țintă poate accepta pachetul și acționa după el.
Atacurile cu numărul de secvență TCP: exploatează sesiunea de comunicații, care a fost stabilită între țintă și gazda de
încredere care a inițiat sesiunea. Intrusul păcălește ținta făcându-i să creadă că este conectată la o gazdă de încredere și
apoi deturnează sesiunea, prezicând alegerea țintei pentru un număr de secvență TCP inițial. Această sesiune este adesea
folosită pentru a lansa diverse atacuri asupra altor gazde.
Un atac de fragment mic are loc atunci când intrusul trimite un fragment foarte mic care forțează o parte din câmpul antet
TCP într-un al doilea fragment. Dacă dispozitivul de filtrare al țintei nu impune dimensiunea minimă a fragmentului, acest
pachet ilegal poate fi apoi transmis prin rețeaua țintei.
Un atac cu fragmente suprapuse este o altă variație a modificării zero-offset a unei datagrame (cum ar fi atacul în
lacrimă). Pachetele ulterioare suprascrie informațiile despre adresa de destinație a pachetului inițial și apoi al doilea pachet
este transmis de dispozitivul de filtrare al țintei. Acest lucru se poate întâmpla dacă dispozitivul de filtrare al țintei nu
impune o compensare minimă a fragmentelor pentru fragmentele cu decalaje diferite de zero.
Referințe
Consorțiul Internațional de Certificare a Securității Sistemelor Informaționale ( www.isc2.org )
Site-ul Web al Ghidului de studiu deschis al CISSP și SSCP ( www.cccure.org )
Centrul de coordonare CERT ( www.cert.org )
3
5
NIST CSRC ( www.csrc.nist.gov )
Google ( www.google.com )
Linktionary.com al lui Tom Sheldon ( www.linktionary.com )
Dicționar de computer online pentru termeni și definiții pentru computer/Internet ( www.webopedia.com )
Tutorial privind cunoștințele computerului ( www.cknow.com/vtutor/ )
Dicționar și tezaur online gratuit ( http://encyclopedia.thefreedictionary.com/ )
Institutul SANS - Educație în domeniul securității computerelor și instruire în domeniul securității
informațiilor ( www.sans.org )
Wikipedia ( www.wikipedia.org )
3
6