SECURITATE

CIBERNETICĂ
1. Aspecte Introductive
 01
INTRODUCERE
INTRODUCERE

Securitatea cibernetică are ca scop protecția bunurilor

unui sistem informatic, precum și a sistemului de
calculatoare în sine. Aceste bunuri sunt de trei tipuri:

● Hardware – se referă la componentele unui

calculator, dispozitive mobile, infrastructuri de
internet ș.a.;

● Software – precum sisteme de operare, sisteme de

gestiune, aplicații etc.;

● Date – fișiere, baze de date, emailuri etc

INTRODUCERE
INTRODUCERE

Securitatea cibernetică reprezintă starea de normalitate

rezultată în urma aplicării unui ansamblu de măsuri
(proactive și reactive) prin care se asigură
confidențialitatea, integritatea, disponibilitatea,
autenticitatea și nonrepudierea informațiilor în format
electronic, a resurselor și serviciilor publice sau private,
din spațiul cibernetic.
INTRODUCERE

Principiile care stau la baza securității unui sistem informatic

● Confidențialitate ‒ datele pot fi văzute doar de utilizatorii autorizați

● Integritatea – datele pot fi modificate doar de utilizatorii autorizați

● Disponibilitatea – proprietatea unor date, informaţii, echipamente sau servicii de a

putea fi accesate şi utilizate, la un anumit moment sau în permanenţă, fără restricţii.

● Autenticitatea – procesul prin care este confirmat faptul că elementele şi proprietăţile

unei entităţi sunt valide

● Non-repudierea – capacitatea unui sistem de a certifica/confirma transmiterea

nemodificată a unui mesaj de către un utilizator.
INTRODUCERE

● Începând cu anul 2016, NATO recunoaşte spaţiul cibernetic, drept al

V-lea teren de război după pământ, apă, aer şi spaţiu.

● Calificarea oficială a spaţiului cibernetic drept zonă de război

presupune ca atacurile ce au loc în acest context să poată genera
un răspuns conform Articolului 5 (al Tratatului Nord-Atlantic – n.red),
şi anume, acţiune colectivă a celor 28 de state membre ale
organizaţiei, într-un incident ce vizează un stat protejat de NATO
 INTRODUCERE
Legendă:
SNSC = Sistemul Național de Securitate Cibernetică;
SRI = Serviciul Român de Informații;
CNSC = Centrul Național de Securitate Cibernetică;
CSAT = Consiliul Suprem de Apărare a Țării;
COSC = Consiliul Operativ de Securitate Cibernetică;
CERT-RO = Centrul de Răspuns la Incidente de Securitate
Cibernetică;
CERT = Computer Emergency Response Team.
CERT-RO

● Organizaţiile şi indivizii se confruntă cu probleme de securitate

cibernetică în mod constant. În vederea ajutării acestora, în anul 2011
a fost înfiinţat Centrul Naţional de Răspuns la Incidente de
Securitate Cibernetică, prescurtat CERT-RO

● CERT-RO are scopul să monitorizeze incidentele legate de

securitate cibernetică la nivel naţional, să faciliteze colaborarea între
organizaţiile din sectorul public şi privat şi să ajute organizaţiile când
întâmpină probleme legate de securitate cibernetică

● CERT-RO colaborează cu poliţia şi cu alte structuri implicate în

combaterea criminalităţii informatice.
 02
CADRUL LEGISLATIV
CADRUL LEGISLATIV

În general, infracțiunile din mediul cibernetic sunt

tratate prin analogie cu cele din mediul fizic, iar
contravențiile sunt similare. De exemplu, ,,violarea
secretului corespondeței prin deschiderea, sustragerea,
distrugerea sau reținerea, fără drept, a unei
corespondențe adresate altuia, precum și divulgarea
fără drept a conținutului unei asemenea corespondențe,
se pedepsesc cu închisoare de la trei luni la un an sau
cu amendă” lege ce se aplică atât pentru un email, cât
și pentru o scrisoare fizică.
CADRUL LEGISLATIV

● Există o înclinație a oamenilor spre a săvârși fapte ilegale în

mediul cibernetic mult mai mare decât în cel fizic. Aceasta
poate fi pusă pe seama anonimității (parțiale) pe care o oferă
mediul virtual, precum și pe seama dificultăților de a dovedi în
justiție cine este făptașul.

● Anumite practici au devenit deja obiceiuri firești, în ciuda

faptului că sunt ilegale. Spre exemplu, utilizarea aplicațiilor
software de tip torrent, prin care utilizatorii descarcă, dar și
pun la dispoziție materiale ale căror drepturi de autor nu le
posedă, reprezintă una dintre practicile des întâlnite în
prezent.
CADRUL LEGISLATIV

● În prezent, importul unei opere digitale făcut de

o persoană fizică, fără scopuri comerciale nu este sancționat
din punct de vedere legal.

● În schimb, ,,punerea la dispoziția publicului, inclusiv prin internet

sau prin alte rețele de calculatoare, fără consimțământul titularului
de drept, a operelor sau a produselor purtătoare de drepturi
conexe ori de drepturi sui-generis ale fabricanților de baze de
date ori a copiilor acestora, indiferent de suport, astfel încât
publicul să le poată accesa în orice loc sau în orice moment ales
în mod individual” este considerată infracțiune, fiind pedepsită cu
amendă sau închisoare de la unu la patru ani în funcție de
gravitatea faptei (Codul Penal).
 03
TIPURI DE HACKERI
TIPURI DE HACKERI

HACKERI

CU PĂLĂRIE NEAGRĂ CU PĂLĂRIE GRI CU PĂLĂRIE ALBĂ

TIPURI DE HACKERI

● Deși opinia publică consideră că termenul de hacker reprezintă o

,,persoană care încearcă să obțină, în mod ilegal, controlul unui
sistem de securitate, computer sau rețea, cu scopul de a avea
acces la informații confidențiale sau avantaje materiale”
(Academia Română ‒ Institutul de Lingvistică, ,,Iorgu Iordan",
2009),

● În rândul celor care lucrează în domeniul securității cibernetice un

hacker este o persoană care studiază și analizează în detaliu
sistemele informatice și pe baza diverselor tehnici caută și
exploatează vulnerabilități ale acestora. Practic, accesarea unui
sistem prin metode neconvenționale, altele decât cele utilizate în
mod normal poartă numele de hacking.
HACKER ETIC SAU HACKER CU PĂLĂRIE ALBĂ

Hackerul etic accesează un sistem informatic în

mod legal cu acordul proprietarului adesea pentru
a testa și îmbunătăți securitatea acestuia.

Aceste acțiuni sunt în general realizate de

departamentul IT al unei companii sau de firme
specializate pe servicii de securitate.
HACKER CU PĂLĂRIE NEAGRĂ

La polul opus hackerului cu pălărie albă, se află cel

cu pălărie neagră care întreprinde activități prin
intermediul cărora compromite securitatea unui
sistem informatic în mod ilegal, fără acordul
proprietarului, în scopul de a obține diverse
avantaje. Acesta poartă și numele de cracker.
HACKER CU PĂLĂRIE GRI

Spre deosebire de cel cu pălărie neagră, acest tip de

hacker pătrunde într-un sistem informatic în scopuri
educative, din curiozitate sau pentru îmbunătățirea
acestuia și nu pentru a obține alte avantaje. Adesea
acest tip de hacker anunță proprietarul de sistem cu
privire la defecțiunile identificate, în scopul remedierii
lor. Deși acțiunile hackerului cu pălărie gri sunt
considerate fie ilegale, fie la limita legii, în general ele
sunt trecute cu vederea
 04
POLITICI, STANDARDE,
PROCEDURI
POLITICI DE BUSINESS

Politicile oferă oamenilor dintr-o organizație îndrumare cu

privire la așteptările pe care organizația le are de la aceștia.
Politicile sunt concise și clare și includ consecințele
nerespectării lor. De regulă, politicile utilizate care contribuie la
menținerea securității cibernetice utilizate în companii sunt de
două categorii: de business și de securitate.
POLITICI DE BUSINESS
Principalele categorii de politici de business care afectează securitatea unei organizații sunt
legate de:

Confidențalitate Utilizarea resurselor Separarea sarcinilor

informații interne pe prezintă modul în care fiecare membru al unei
care angajații nu au voie membri unei organizații pot organizații are bine
să le divulge utiliza resursele acesteia definite sarcinile.
(software și hardware)
POLITICI DE SECURITATE
Principalele categorii de politici de business care afectează securitatea unei organizații sunt
legate de:

Principiul celor mai mici Vacanțe obligatorii

Rotația job-urilor
drepturi
Utilizatorii de sisteme compania se asigură că nu oferă ocazia angajatului să se
trebuie să aibă alocate este dependentă de un relaxeze și companiei să
toate drepturile anume angajat, care ar observe importanța persoanei
necesare desfășurării avea prea multă putere în în cadrul acesteia. De
activității lor, dar nimic cadrul acesteia asemenea, este o bună
în plus metodă de a identifica
fraudele
STANDARDE

Standardele descriu așteptările minime cu privire la diverse

procese și activități din cadrul unei organizații. Standardele sunt
derivate din politici și pun la dispoziție suficiente detalii prin
intermediul cărora să poată fi realizat un audit care să
determine dacă respectivul standard este sau nu atins.

Documentele de standarde includ:

● scopul și intenția;

● roluri și responsabilități;

● criterii de performanță;

● menținerea și adiministarea cerințelor;

● documente de referință.
 PROCEDURILE

● Explică membrilor unei organizații care sunt pașii

exacți pentru a întruni standardele. Dacă standardele
impun așteptările minime de la angajați, procedurile
explică detaliat cum acestea pot fi atinse.
● Studiu de caz – Importanța procedurilor în
activitatea unui Hacking Forensic Investigator
GHIDURI DE BUNE PRACTICI

Ghidurile de bune practici sunt instrumente diferite față de politici și

standarde.
Ghidurile de bune practici sunt concepute pentru a ajuta oamenii să se
conformeze politicilor și standardelor. De exemplu, acestea pot oferi
explicații oamenilor cu privire la modul în care pot instala o aplicație și ce
pași să urmeze pentru a se asigura că toate standardele sunt respectate.
Ghidurile de bune practici se diferențiază de proceduri prin faptul că nu
sunt obligatorii și au un caracter mai puțin formal.
IMPORTANȚA POLITICILOR, A STANDARDELOR, A PROCEDURILOR –
CAZ REAL

Un angajat dintr-o companie mare utiliza sistemul de calculatoare al

acesteia pentru a gestiona o firmă mică de contabilitate pe care o
înființase. El utiliza resursele companiei în timpul liber. Când situația a fost
descoperită, angajatul a fost imediat concediat pentru utilizarea
neadecvată a calculatoarelor companiei.
Acesta a acționat în judecată compania și a câștigat, firma fiind obligată să
îi achite nu numai salariile din urmă, dar și daune suplimentare. Principalul
motiv pentru care compania a pierdut procesul a fost că politicile de
utilizare a resurselor nu prevedeau că angajații nu pot folosi
calculatoarele companiei pentru munca personală, ci doar că nu le pot
folosi pentru munca personală în timpul orelor de lucru.
Compania nu a putut demonstra că angajatul a utilizat resursele în timpul
orelor de lucru.
 05
INGINERIAL SOCIALĂ
INGINERIE SOCIALĂ

● Cunoscut și sub numele de social engineering, în

domeniul securității cibernetice, ingineria socială
reprezintă procesul prin care un atacator capătă
informații sau chiar acces la un sistem informatic
prin intermediul manipulării, determinându-și
victima să îi ofere informații confidențiale sau să
realizeze alte acțiuni în detrimentul acesteia.
● Este de departe cea mai frecventă metodă de
compromitere a securității cibernetice
CATEGORII DE ATACURI DE TIP SOCIAL ENGINEERING

● Phishing
● Impersonation
● Alarme False
● Shoulder Surfing
● Dumpster Diving
● Tailgating
SOCIAL ENGINEERING

● Phishing (înșelăciune electronică) – este una

dintre cele mai răspândite metode de social
engineering și constă în obținerea unor date cu
caracter confidențial, în mod ilegal, folosind
diverse tehnici de manipulare a datelor.
● Un exemplu frecvent întâlnit constă în trimiterea
unui email, care aparent aparține unei
bănci cu care victima colaborează, prin care se
solicită datele unui card în scopul îmbunătățirii sau
verificării acestora.
SOCIAL ENGINEERING

● Impersonation (identitate falsă) – procesul prin care

atacatorul își convinge victima că este o altă persoană decât
în realitate.
● Alarme false (în engleză ,,hoaxes”) – au scopul de a crea
confuzie sau chiar panică în rândul utilizatorilor,
determinându-i pe aceștia să ia decizii haotice.
Ex. Antivirus fals
● Shoulder Surfing (tradus a trage cu ochiul) – presupune
observarea în mod fizic a acțiunii prin care cineva introduce
date sensibile precum PIN-ul unui card, parola unui cont etc.
SOCIAL ENGINEERING

● Dumpster Diving (tradus căutarea în coșul de gunoi) – se

referă la aflarea de informații sensibile din documentele
aruncate.
● Tailgating – presupune intrarea neautorizată într-un sistem
prin intermediul unei persoane autorizate, care, din neglijență
sau ignoranță permite intrusului să pătrundă odată cu ea ș.a.

Ex. Testarea securității unui aeroport

 06
EVALUAREA RISCURILOR
EVALUAREA RISCURILOR

VP1 x PADA = VPA

VP1 = valoarea pierderilor într-un caz nefavorabil;

PADA = probabilitatea de apariție în decursului unui an;
VPA = valoarea pierderilor anuale.

Exemplu practic: Este de așteptat ca anual securitatea serverulului

unei companii să fie compromisă de două ori, pierzându-se date și fiind
nefolosibil pentru câteva ore. Pierderile de date și de timp într-o astfel de
situație sunt estimate la 2500 de lei. Care este valoarea pierderilor anuale
pentru un server?

Răspuns: VPA = 2500 x 2 = 5000 de lei.

METODE DE GESTIUNE A RISCURILOR

● Evitarea ‒ presupune identificarea unui risc și luarea unor măsuri care

elimina posibilitatea întâmplării oricăror acțiuni care generează acel risc.
Exemplu: întrucât accesul la memoriile USB generează adesea
infectarea cu cod malware a calculatoarelor, se poate interzice utilizarea
dispozitivelor care se conectează prin USB.

● Atenuarea ‒ se referă la acțiuni care reduc riscul. Instalarea unui firewall

sau a unui program software antivirus sunt exemple de acțiuni de
atentuare a riscului.

● Transferul ‒ adesea companiile mari încheie polițe de asigurare, iar în

cazul în care acestea suferă pierderi acoperite de contract, asiguratorul
plătește daune companiei.
METODE DE GESTIUNE A RISCURILOR

● Descurajarea ‒ determinarea atacatorului să renunțe la atacuri

cibernetice. Postarea repercursiunilor legale pe pagina de autentificare
a unui site poate reprezenta un mod de a descuraja posibili atacatori să
utilizeze ilegal respectivul sistem informatic.
● Acceptarea ‒ în cazul în care costul implementării strategiilor
prezentate anterior depășește valoarea așteptată a pierderilor anuale
(VPA) atunci acceptatea riscului devine o posibilitate. Acceptarea
presupune conștientizarea riscului de către administrator sau manager
și asumarea posibilelor consecințe. (Dulaney, și alții, 2014)
 06
TIPURI DE MALWARE
TIPURI DE MALWARE

Nume Caracteristici
Virus Modifică fişiere sau programe fără voia utilizatorului

Se execută independent şi se propagă prin intermediul reţelelor. De asemenea se poate

Vierme
replica fără nicio acţiune a utilizatorului
O formă de malware deghizată ca software legitim. Se activează odată cu o acţiune a
Troian
utilizatorului
Malware care criptează datele utilizatorilor şi solicită recompense în vederea decriptării
Ransomware
acestora

Adware Expune utilizatorul la publicitate nedorită, potenţial rău intenţionată

Spyware Monitorizează activitatea sistemelor informatice fără acordul utilizatorului şi trimite
date despre acesta către sisteme străine
Scareware Avertisment eronat legat de un aparent malware
Utilizarea reclamelor legitime sau a canalelor de reclame pentru a trimite malware către
Malvertising
victime
Malware fără fişier Malware care nu foloseşte în mod direct fişiere sau sistemul de fişiere
TIPURI DE MALWARE

Înregistrează toate informaţiile introduse utilizând tastatura sau mouse-ul şi le trimite

Keylogger
atacatorului
Bombă logică Se activează automat atunci când este satisfăcută o condiţie

Bombă în timp Se activează automat la un anumit moment temporal

Dropper Program de transfer de date utilizat pentru a introduce în sistem un alt tip de malware

Malware de tip Script Malware specific limbajelor de scripting, precum JavaScript sau ActiveX

Zombie Computer aflat sub controlul unui program

Rootkit Malware instalat în secţiunea „root”, cea cu drepturi depline de acces

Permite intrarea neautorizată şi ocoleşte accesul normal (autorizat) la un sistem

Trapdoor/ Backdoor
informatic
VIRUSUL

Cea mai populară formă de malware este virusul.

Virusul este un program creat pentru a infecta un sistem informatic. Numele a fost
atribuit prin analogie cu virusul biologic, existând o serie de similitudini legate de
modul de funcţionare a celor două.

Principalele caracteristici ale unui virus sunt: autoexecuţia şi automultiplicarea.

Viruşii pot fi polimorfici (au capacitatea de a-şi schimba forma pentru a evita
detectarea) sau invizibili ‒ folosesc diverse tehnici de mascare prin intermediul cărora
ascund faptul că sistemul a fost infectat
TIPURI DE VIRUȘI

• rezident – se află în memoria RAM şi poate interfera cu funcţionarea normală a sistemului, ceea
ce poate genera coruperea fişierelor şi a programelor;

• nerezident – spre deosebire de virusul rezident, acesta nu este localizat în memoria RAM.
Atunci când este executat, scanează discul pentru ţinte, le infectează şi apoi eliberează zona de
memorie (nu rămâne în memorie după ce este executat);

• multipartit – se poate răspândi în sistemele software, efectuând acţiuni nedorite în sistemul de

operare, foldere şi alte programe. Poate afecta atât fişiere executabile cât şi sectorul de boot al
sistemului de operare;

• cu acţiune directă (direct action virus) - atacă anumite tipuri de fişiere, de obicei fişierele cu
extensiile .exe sau .com. Scopul principal al acestui virus este replicarea şi infectarea fişierelor din
foldere. De regulă, astfel de viruşi nu şterg fişiere şi nu afectează viteza PC-ului. În plus pot fi
eliminaţi relativ uşor de programele antivirus;
TIPURI DE VIRUȘI

• de suprascriere - acest virus suprascrie conţinutul unui fişier, pierzându-se conţinutul

original, infectează foldere, fişiere şi chiar programe;

• browser hijacker – infectează browserele web, determinându-le pe acestea să redirecteze

utilizatorii către website-uri nedorite;

• ai scripturilor web (web scripting virus) – acest tip de virus se poate afla în legături, reclame,
imagini, videoclipuri şi chiar în structura unui website. Aceste componente software infectate
pot duce la descărcarea de malware sau îndruma utilizatorii către website-uri periculoase;
TIPURI DE VIRUȘI
• de tip macro (macro virus) – vizează soluţii software care conţin comenzi de tip macro;

• de directoare (directory virus) – schimbă calea fişierelor, astfel încât atunci când fişierele
infectate sunt accesate, este rulat şi virusul în fundal;

• de fişiere (file infector virus) - acest virus infectează fişiere sau programe executabile. Când
sunt executate fişiere sau programe infectate, este activat şi virusul care poate încetini
sistemele software şi produce alte efecte dăunătoare;

• criptat – utilizează cod maliţios criptat pentru a îngreuna detectarea acestora de către
antiviruşi. De regulă, pot fi detectaţi în timpul replicării;
TIPURI DE VIRUȘI
• companion - acesta tip de virus nu supravieţuieşte decât însoţind un fişier sau un folder
existent.
• de reţea - se răspândeşte prin reţeaua locală (LAN) şi prin internet. Viruşii de reţea se replică
prin resurse partajate, inclusiv unităţi şi foldere;
• ascuns (stealth) – viruşii ascunşi utilizează diverse tehnici pentru a îngreuna detectarea
acestora, activându-se ocazional. Din această cauză, antivirusul poate avea dificultăţi în
identificarea lor;
• spacefiller - se ataşează la fişier şi poate modifica începutul programului sau schimba codul
criptat.
• FAT (file allocation table, în traducere: tabelă de alocare fişiere) – acest tip de virus
afectează tabela de alocare a fişierelor, unde sunt localizate informaţii despre fişiere, precum
zonele de memorie unde acestea sunt stocate ş.a.
 07
ANTIVIRUS
ANTIVIRUS

Antivirusul este o program software care se ocupă cu protecția unui

sistem informatic împotriva diverselor forme de malware, având ca funcții principale
prevenirea apariției, detectarea și ștergerea aplicațiilor malițioase. Inițial programele
antivirus au fost create pentru a proteja un sistem împotriva virușilor și ulterior acestea
și-au păstrat numele în ciuda apariției și altor forme de malware.
ANTIVIRUS
 08
FIREWALL
FIREWALL

● Firewallurile sunt sisteme informatice care au ca scop izolarea unui calculator de o

rețea sau a unei rețele de celelalte. Firewallurile pot fi simple programe software,
instalate pe un calculator sau dispozitive de sine stătătoare, care includ echipament
hardware și programe software proprii. De regulă, sistemele de operare includ un
firewall, prin urmare, marea majoritate a calculatoarelor sunt protejate de firewallul
pus la dispoziție de SO.

● În schimb, pentru o securitate sporită, serverele importante sau calculatoarele unor

instituții care lucrează cu date sensibile utilizează sisteme firewall de sine stătătoare.
Pentru o bună securitate este obligatorie utilizarea și activarea firewallului pentru
orice calculator (telefon smart, tabletă etc.) care se conectează la internet
 09
CONCEPTE DE CRIPTARE
CONCEPTE DE CRIPTARE

● ,,Criptarea este o metodă de a îmbunătăți securitatea unui text sau fișier

prin amestecarea conținutului astfel încât să nu mai poată fi citit decât
de cineva care are cheia de criptare corespunzătoare pentru a-l repune
în ordine.”

● De exemplu, datele unei tranzacții online (precum adresa, numărul de

telefon, numărul cărții de credit) sunt criptate pentru a ajuta la păstrarea
lor în siguranță.

● Criptarea este utilizată pentru păstrarea unui nivel puternic de protecție

al informațiilor.
CONCEPTE DE CRIPTARE

Pentru a ne putea autentifica într-un sistem informatic (precum emailul

sau o rețea de socializare) fiecare utilizator are un cont și o parolă. Acestea
sunt stocate în baza de date a sistemului și verificate în momentul în care
ne logăm. Să presupunem că datele de autentificare sunt:

Cont: Informatică
Parolă: Securitate Cibernetică.

Baza de date a sistemului nu va stoca în text-în-clar parola, ci o va reține

criptată. Dacă, de exemplu, folosește ca algoritm de criptare SHA-1 (Secure
Hash Algorithm 1), atunci parola va arăta astfel:

● bd4874c7ae9a083fc2765a0adb8558dba0767c92
TIPURI DE SISTEME CRIPTOGRAFICE

Criptografia cu cheie simetrică (secretă) – foloseşte aceeaşi cheie atât la

criptarea, cât şi la decriptarea mesajelor. ,,Securitatea criptării simetrice
depinde de protecţia cheii folosite, managementul acestora fiind un factor
vital în securitatea datelor, iar procesul de distribuire sigură a cheilor este
foarte dificil.

Criptografia cu cheie asimetrică (se mai numește și publică) ‒ foloseşte

chei distincte de codificare şi decodificare, dependente una de cealaltă.
Una dintre chei, cea privată, este ţinută secretă şi este cunoscută doar de
proprietarul ei.

A doua cheie ‒ cea publică, perechea cheii private, este cunoscută ambilor
parteneri de dialog.
CRIPTOGRAFIA CU CHEIE ASIMETRICĂ
CRIPTOGRAFIA CU CHEIE ASIMETRICĂ

Tipul de cheie Simetrică Asimetrică

ambii interlocutori se află în posesia
atât emițătorul, cât și receptorul
Abordare cheii publice, însă doar receptorul
se află în posesia cheii
cunoaște cheia privată
receptorul trimite emițătorului cheia
emițătorul criptează mesajul publică, cu care emițătorul criptează
Cum
cu o cheie secretă pe care mesajul; acesta poate fi decriptat
funcționează?
o trimite și receptorului doar de posesorul cheii private –
adică de receptor
este de 100-1000 de ori mai
Avantaje oferă o securitate mult mai mare
rapidă
securitate redusă; procesul de
Dezavantaje viteză redusă
distribuire al cheii este dificil
SCENARIU REAL: DISPUTA DINTRE FBI ȘI APPLE

● La data de 9 februarie 2016, ca urmare a atacului de la San Bernardino,

soldat cu 14 morți și 22 de răniți, FBI a anunțat că nu poate decripta
telefonul unuia dintre atacatori, ca urmare a sistemelor de criptare
performante utilizate. Dispozitivul respectiv era un iPhone 5C, ale cărui
componente software și hardware sunt create de firma Apple. În ciuda
mandatului judecătoresc,
● Apple nu a putut ajuta FBI, aceștia afirmând că nici măcar ei nu pot
decripta dispozitivul electronic. Prin urmare FBI a obținut un ordin
judecătoresc prin care solicita firmei Apple să modifice sistemele de
criptare astfel încât, pe viitor, să fie evitate astfel de situații, iar
autoritățile SUA să poată avea acces la datele dispozitivelor în caz de
necessitate.
● În cele din urmă FBI a renunțat la proces întrucât a reușit să decripteze
telefonul, fiind ajutați de o organizație externă.
 09
CERTIFICATE DIGITALE
CE ESTE UN CERTIFICAT DIGITAL?

● ,,Un certificat digital este o «carte de identitate» virtuală care poate permite
crearea unei semnături electronice cu valoare legală, permiţând identificarea fără
echivoc în mediul electronic. Prin semnătură electronică se garantează
trasabilitatea modificării documentelor (integritatea), originea
lor (autenticitatea), precum şi răspunderea legală a
semnatarului (nonrepudierea)” (certSIGN)

● Principalele funcții ale unui certificat sunt: criptarea datelor, semnătură

digitală, autentificarea la aplicații web sau site-uri de încredere.
CE ESTE CRIPTAREA SSL/TLS?

● SSL/TLS criptează comunicațiile dintre un client și un server, în principal

browsere web și site-uri web/aplicații.

● Criptarea SSL (Secure Sockets Layer) și înlocuirea sa mai modernă și

mai sigură, criptarea TLS (Transport Layer Security), protejează datele
trimise prin internet sau o rețea de calculatoare. Acest lucru împiedică
atacatorii (și Furnizorii de servicii de internet) să vizualizeze sau să
modifice datele schimbate între două noduri - de obicei, browserul web
al unui utilizator și un server web/aplicație.

● Majoritatea proprietarilor și operatorilor de site-uri web au obligația de

a implementa SSL/TLS pentru a proteja schimbul de date sensibile, cum
ar fi parole, informații de plată și alte informații personale considerate
private.
CUM FUNCȚIONEAZĂ CRIPTAREA SSL/TLS? (1)

● SSL/TLS utilizează atât criptarea asimetrică, cât și simetrică pentru a proteja

confidențialitatea și integritatea datelor în tranzit. Criptarea asimetrică este
utilizată pentru a stabili o sesiune securizată între un client și un server, iar
criptarea simetrică este utilizată pentru a face schimb de date în cadrul
sesiunii securizate.
● Un site web trebuie să aibă un certificat SSL/TLS pentru serverul
web/numele de domeniu pentru a utiliza criptarea SSL/TLS. Odată instalat,
certificatul permite clientului și serverului să negocieze în siguranță nivelul
de criptare în următorii pași:
CUM FUNCȚIONEAZĂ CRIPTAREA SSL/TLS? (2)

1. Clientul contactează serverul folosind o adresă URL securizată (HTTPS…).

2. Serverul trimite clientului certificatul și cheia publică.
3. Clientul verifică acest lucru cu o autoritate de certificare de încredere pentru a se
asigura că certificatul este legitim.
4. Clientul și serverul negociază cel mai puternic tip de criptare pe care îl poate
suporta fiecare.
5. Clientul criptează o cheie de sesiune (secretă) cu cheia publică a serverului și o
trimite înapoi la server.
CUM FUNCȚIONEAZĂ CRIPTAREA SSL/TLS? (3)

6. Serverul decriptează comunicarea clientului cu cheia sa privată, iar sesiunea este

stabilită.
7. Cheia de sesiune (criptare simetrică) este acum utilizată pentru a cripta și decripta
datele transmise între client și server.

Atât clientul, cât și serverul folosesc acum HTTPS (SSL/TLS + HTTP) pentru
comunicarea lor. Browserele web validează acest lucru cu o pictogramă de lacăt în
bara de adrese a browserului. HTTPS funcționează prin portul 443.
 10
BUNE PRACTICI
CALCULATORUL PERSONAL

1. Utilizarea unui sistem de operare actualizat.

2. Utilizarea unor aplicații de încredere, cu licență.
3. Nu este recomandată utilizarea programelor piratate. Adesea,
hackerii care realizează procesul de piratare introduc și malware în codul
acestora.
4. Utilizarea unui program antivirus actualizat și realizarea periodică a
scanărilor unui calculator.
5. Salvarea periodică a datelor pe un suport electronic izolat, precum
un stick de memorie sau un hard extern. Această metodă poartă numele
de back-up.
CALCULATORUL PERSONAL

6. Evitarea deschiderii fișierelor necunoscute, în special cele cu

extensii executabile.
7. Setarea sistemulului de operare astfel încât acesta să afişeze
extensiile fişierelor, pentru a observa adevărata lor extensie. Adesea
distribuitorii de aplicaţii malware modifică extensia acestora pentru a
convinge utilizatorii să ruleze fişiere executabile. (Serviciul Român de
Informații)
NAVIGAREA SIGURĂ PE INTERNET

1. Instalarea sau activarea unui program firewall (de obicei integrat în

cadrul sistemului de operare) care să filtreze datele primite.
2. Instalarea și utilizarea unui browser web actualizat.
3. La instalarea extensiilor sau plugin-urilor în cadrul unui browser este
esențial
să ne asigurăm că sunt de încredere.
4. Când furnizăm informații personale pe un site este esențial să ne
asigurăm că acesta este securizat. Site-urile securizate folosesc conexiuni
de tip https, acest lucru putând fi observat întrucât adresesele site-urilor
respective sunt precedate de ,,https://”. Nu este recomandăt să furnizăm
informații personale site-urilor fără o conexiune sigură, precedate de
,,http://”.
NAVIGAREA SIGURĂ PE INTERNET

5. În utilizarea rețelelor sociale este importantă să ne asigurăm că

aplicațiile folosite sunt de încredere.

6. A nu se utiliza rețele de wi-fi publice pentru operațiuni bancare, afaceri

personale sau comerț on-line.

7. Deși (încă) este utilizată pe scară largă, tehnologia Bluetooth

prezintă o serie de vulnerabilități. Este recomandată oprirea opțiunii
Bluetooth când aceasta nu este folosită.
MĂSURI DIRECTE ÎMPOTRIVA SOCIAL ENGINEERING
1. Nu este recomandată sub nicio formă deschiderea atașamentelor
sau accesarea adreselor primite prin email sau prin alte canale de
comunicare din partea unor persoane necunoscute.
2. Nu este recomandată accesarea sau deschiderea atașamentelor
primite sau accesarea adreselor primite prin email sau prin alte canale de
comunicare din partea unor conturi pe care le cunoaștem, decât dacă
suntem 100% siguri că proprietarii conturilor au avut intenția de a ne
trimite acel atașament. Există diverse forme de malware care trimit fișiere
malițioase de la un cont către
rețele de conturi conectate cu acesta.
3. În utilizarea internetului este important să rămânem cât mai
anonimi posibil. Divulgarea în mediul online a unor informații personale,
precum CNP-ul, parole, numere de carduri, adresa, numărul de tefon ș.a.
poate genera neplăceri. Oricând divulgăm online astfel de date este
esențial să ne asigurăm că site-ul care le solicită este demn de încredere.
MĂSURI DIRECTE ÎMPOTRIVA SOCIAL ENGINEERING

4. Este recomandată o mare discreție cu privire la datele divulgate pe

site-urile de socializare. Datele sau pozele publicate pot fi văzute și folosite
de posibili atacatori pentru a provoca neplăceri. (Serviciul Român de
Informații)
5. La accesarea unei aplicații web este esențial să ne asigurăm că
aceasta este ceea ce pare. Adesea atacatorii construiesc pagini similare cu
cele ale site-uri pe care le utilizăm. De exemplu, o pagină care are un
design asemănător cu formularul de autentificare la adresa de mail sau la o
rețea de socializare poate determina un utilizator neatent să trimită
atacatorului datele sale de autentificare.
MĂSURI PENTRU GESTIONAREA CONTURILOR

1. Este important să nu divulgăm datele conturilor sau parolele acestora

altor persoane. De asemenea, nu este recomandat să notăm parolele
noastre pe nicio sursă fizică sau electronică.

2. Este important să nu utilizăm aceeși parolă pentru mai multe conturi.

În acest fel ne asigurăm că în cazul în care un cont este compromis
pagubele se restrâng doar la sistemul informatic și resursele care pot fi
accesate de pe acel cont.

3. Când părăsim un calculator este important să ne delogăm, astfel încât

acesta să nu poată fi folosit de persoane neautorizate.
MĂSURI PENTRU GESTIONAREA CONTURILOR

4. În alegerea unei parole este recomandat să respectăm câteva

aspecte:
• să aibă cel puțin 8 caractere;
• să nu conțină nume proprii (în niciun caz numele utilizatorului) sau
date personale care ar putea fi aflate (exemplu: data nașterii);
• să aibă cel puțin o majusculă, o cifră, și un caracter care nu este
alfanumeric (!, &, #, $,% ș.a.).
MĂSURI PENTRU GESTIONAREA CONTURILOR

5. Adesea oamenii aleg parole simple pentru a și le aminti ușor. Pentru a seta
și ține minte o parolă bună este recomadată utilizarea unor metode de
generare. Una dintre cele mai simple este să alegem o frază pe care o
folosim frecvent și să facem modificări după cum ne dorim.

● Exemplu: Pornind de la fraza: ,,Îmi place informatica, dar cel mai mult
securitatea cibernetică” putem efectua modificări astfel: î și i devin !, a
devine @, e devine 3, o devine 0 și eliminăm spațiile. De asemenea, prima
literă a fiecărui cuvânt va fi scrisă cu majuscule. Va rezulta:

!m!Plac3!nf0rm@t!c@3c0n0m!c@D@rmM@!@l3S3cur!t@t3@C!b3rn3t!c@.
MĂSURI PENTRU GESTIONAREA CONTURILOR

6. Pentru conturile importante este recomandată utilizarea autentificării

în mai multe etape. Unele aplicații web pun la dispoziție această facilitate.
Aplicațiile de internet banking obligă utilizatorul să folosească acest sistem. La
primul pas se introduc contul și parola. După efectuarea acestei etape
utilizatorul primește un mesaj text pe telefon (sau pe un dispozitiv special
numit token) cu un cod. Codul primit este necesar finalizării procesului de
autentificare și este valid pentru o perioadă scurtă de timp (2-5 minute).
MULŢUMESC
SECURITATE
CIBERNETICĂ
Tipuri de atacuri
 01
CE ESTE UN ATAC CIBERNETIC?
ATAC CIBERNETIC

Actiune ostilă desfășurată în spațiul cibernetic de natură să

afecteze securitatea cibernetică.

Un atac cibernetic poate dezactiva computerele în mod rău

intenționat, poate fura date sau poate folosi un computer spart ca
punct de lansare pentru alte atacuri.

Infractorii cibernetici folosesc o varietate de metode pentru a

lansa un atac cibernetic, precum malware, phishing,
ransomware, denial of service etc.
EXEMPLU DE ATAC – CAZUL ASE DIN OCTOMBRIE 2020

În octombrie 2020, sistemul informatic al Academiei de Studii Economice din

București a încetat să funcționeze. Atât sistemele de guvernare a universității, cât și
sistemele informatice administrative devin dintr-o dată indisponibile.

Profesorii nu s-au putut conecta la platforma online a universității, studenții nu au putut

descărca materiale, iar contabilii nu au putut vedea înregistrările financiare.

A fost un atac ransomware. Universitatea a avut nevoie de câteva săptămâni pentru a

repune în funcțiune sisteme informatice. Nu a fost plătită nicio răscumpărare, în
consecință, toate datele s-au pierdut.

Atacatorii au criptat și unele dintre serverele de rezervă, ceea ce reflectă o planificare

atentă a atacului.
PAȘII ATACULUI (1)

Atacul a exploatat cea mai vulnerabilă parte a sistemului: omul. Nu a fost un atac
foarte sofisticat. Un bot a scanat pur și simplu suprafața web și a identificat
vulnerabilități pe una sau mai multe dintre stațiile de lucru cu care angajați ASE se
conectau de la distanță la componentele cheie ale platformei universității.

Universitatea dispunea de sisteme de securitate cibernetică, utilizând un set complex de

tehnologii pentru a-și proteja sistemele. Singura problemă a fost că mulți profesori de
la universitate au găsit aceste sisteme incomode și au cerut deschis dezactivarea VPN
(Virtual Private Network) și au cerut personalului de securitate să activeze
conexiunile desktop la distanță.
PAȘII ATACULUI (2)

Ca o notă istorică, platforma online a universității este în uz din 2012. Cu toate acestea,
utilizarea platformei online a fost opțională și doar unii membri ai facultății au folosit-
o.

În timpul trecerii la învățământul online din cauza COVID-19 care a fost implementată
în România în martie 2020, toți membrii facultății au trebuit să-l folosească pentru
toate lecțiile. Acest lucru a creat o situație în care un număr mare de membri ai
facultății au fost nevoiți să investească eforturi suplimentare în conectarea la sistemele
universității.
PAȘII ATACULUI (3)

La insistențele membrilor universității de a elimina restricții de conectare prin VPN, s-

a redus securitatea și s-a permis utilizarea de conexiuni de tip remote desktop.

La un moment dat, în timpul verii, existau sute de conexiuni desktop la distanță care
erau deschise pe diferite computere din interiorul universității. Numărul a crescut la
două sute în câteva luni. Acest lucru s-a întâmplat în ciuda recomandărilor puternice
ale Departamentelui IT de a evita astfel de conexiuni nesigure.
PAȘII ATACULUI (4)

Nu a fost dificil pentru un atacator să folosească una dintre aceste conexiuni desktop la
distanță pentru a intra în rețeaua universității. Atacatorii și-au alocat timpul necesar
pentru a înțelege structura rețelei pentru a identifica diferitele componente, inclusiv
serverele de rezervă.

Durata atacului nu a fost cunoscută. Pe baza unor observații empirice se estimează că a

durat câteva săptămâni din momentul pătrunderii inițiale în rețea până în momentul în
care serverele au fost criptate.

Partea finală a atacului a fost efectuată într-un moment în care vizibilitatea era la
apogeu. Serverele au fost criptate la câteva zile după începerea noului an universitar.
Acest lucru arată că atacatorii au vrut să maximizeze impactul acțiunilor lor.
PAȘII ATACULUI (5)

Principala problemă a fost criptarea activelor digitale ale universității. De-a lungul
anilor, universitatea a produs cantități substanțiale de cursuri care au fost localizate pe
diferite mașini situate în centrul de date. Cursurile au inclus colecții constante de cod,
platforme educaționale personalizate și multe altele.

Codul malware care a criptat activele digitale ale universității a creat o întrerupere
majoră. Mulți membri ai facultății nu au reușit să ia legătura cu studenții lor și toate
sistemele au fost oprite, inclusiv serverele de e-mail.

Universitatea nu avea doar un singur depozit instituțional pentru a stoca activele

digitale, ci multe. Fiecare membru al facultății a creat o versiune a activelor sale
digitale și doar o parte dintre ele avea copii de rezervă actualizate. Chiar și după
recuperarea sistemelor, unele active digitale (cum ar fi cursuri, bucăți de cod,
videoclipuri etc.) nu au putut fi restaurate.
PAȘII ATACULUI (6)

Nu a fost plătită nicio răscumpărare de către universitate. Procesul de înregistrare a

datelor a durat aproximativ 6 săptămâni și unele elemente nu au fost niciodată
recuperate.

Au existat probleme majore în ceea ce privește obținerea unor informații financiare și

departamentul de resurse umane a fost nevoit să reconstruiască o mare parte a bazei de
date. Pe lângă pierderea unora dintre activele sale digitale, universitatea a trebuit să
acopere pierderi substanțiale din cauza timpului petrecut de personalul său pentru a
recupera datele pierdute.

Situația s-a complicat întrucât atacul a coincis cu un vârf de infecții cu virusul COVID-
19 care a avut loc în noiembrie în România. Acest lucru a limitat accesul la sediile
universității.
PRINCIPALELE CAUZE

Măsurile de securitate sunt adesea în conflict cu performanța unui sistem sau cu

experiența utilizatorului.

Din cauza experienței slabe a utilizatorului, mulți membri ai facultății au refuzat să

folosească metodele de acces securizat care au fost furnizate. Acest lucru arată că
experiența utilizatorului este o componentă importantă a procesului de protecție a
rețelei unei organizații împotriva atacurilor cibernetice.

Utilizarea conexiunilor desktop la distanță nu a fost cu siguranță o idee bună. Acest

lucru era cunoscut de experții în securitate cibernetică. Cu toate acestea, utilizatorii
obișnuiți au avut o opinie diferită, iar cea din urmă a predominat.
PRINCIPALELE CAUZE

Sistemele actualizate necorespunzător pe care unii membri ai facultății le foloseau în

casele lor erau o altă vulnerabilitate majoră de securitate.

Chiar dacă sistemele universităților au fost întreținute corespunzător, atacatorii

cibernetici au putut pătrunde cu ușurință în computerele de acasă ale unor membri ai
facultății.

Lipsa unei pregătiri adecvate a fost o altă problemă majoră. Dacă membrii facultății
ar fi fost mai bine pregătiți, șansele atacatorilor ar fi fost considerabil reduse.
CONCLUZII

Este esențial să luăm în considerare ușurința de utilizare a software-ului de securitate

instalat în organizații. După cum arată evenimentele de mai sus, software-ul care oferă
o experiență de utilizator slabă nu va fi acceptat de utilizatorii săi chiar dacă este
important pentru asigurarea securității cibernetice.

De mulți ani, inginerii au creat software de securitate cibernetică gândindu-se mai ales
la modalități de a maximiza performanța tehnică și securitatea. De asemenea, este
important să creați un software ușor de utilizat, pe care utilizatorii normali sunt dispuși
să îl accepte.
 02
PRINCIPALELE TIPURI DE
ATACURI CIBERNETICE
DOS
Denial of Service, prescurtat DoS, este un atac folosit pentru a refuza accesul
utilizatorilor legitimi la o resursă, cum ar fi accesarea unui website, a unei reţele, a
e-mailurilor etc.

Acest tip de atac este de obicei implementat prin atacarea resursei ţintă, cum ar fi un
server web către care sunt trimise prea multe cereri în acelaşi timp. Serverul nu
poate răspunde la toate solicitările, iar efectul acestei situaţii poate fi inactivitatea
serverelui sau încetinirea acestuia. Decuplarea unor afaceri de la accesul la internet,
chiar şi pentru o perioadă scurtă de timp, poate duce la pierderi financiare
semnificative pentru acestea. Numeroase organizaţii depind de internet şi de reţelele
de calculatoare, unele dintre soluţii cum ar fi gateway-uri de plată, website-urile de
comerţ electronic depind în întregime de internet
DDOS

Blocarea serviciului poate fi de două feluri: DoS şi DDoS (Distributed DoS, în

traducere: DoS distribuit). Diferenţa între cele două constă în numărul de maşini
care efectuează atacul. În cazul DoS atacul este efectuat de o singură staţie, în
schimb DDoS presupune un atac coordonat în care un număr mare de maşini
vizează aceeaşi victimă, inundând reţeaua acesteia cu volume imense de pachete de
date.
 BOTNET

● Un botnet reprezintă un set de computere care se află sub controlul unui atacator.
Aceste sisteme compromise poartă denumirea de ‘bots’ sau ‘zombies’. Aceasta
este o rețea de sisteme informatice infectate care sunt controlate de alte
persoane/organizații decât deținătorii acestora.

● O rețea de tip botnet poate fi utilizată cu scopuri multiple: atacuri de tip

„Distributed Denial of Service - DDoS”, spamming, furt de identitate, distribuire de
malware, infectarea sistemelor informatice etc.
 BOTNET

● În prezent botnet-ul poate fi folosit ca marfă. Părțile interesate pot chiar închiria o
rețea de tip botnet pentru a-și atinge scopurile malițioase și inclusiv pentru a
obține avantaje materiale. Mai mult, acestea pot acționa pe mai multe sisteme de
operare. Spre exemplu, în 2012 botnet-ul ‘’Flashback’’ a reușit să infecteze
aproximativ 600.000 de computere Apple. Pagina 9 din 18

● Conform unui raport CERT-RO, peste 80% dintre alertele primite de la companii se
referă la activităţi suspecte/maliţioase generate de reţelele de tip botnet.
SPOOFING ATTACK

Disimularea identităţii la transmiterea unor mesaje electronice sau la trecerea de

filtrele de securitate. Atacurile de falsificare vin sub mai multe forme, inclusiv

● Falsificarea IP-ului, MAC-ului și/sau DNS-ului

● Falsificarea e-mailurilor
● Falsificarea site-ului web și/sau a adreselor URL
● Falsificarea ID apelantului
● Falsificarea mesajelor text
● Falsificarea GPS
● Atacuri de timp Man-in-the-Middle
● Falsificarea extensiilor
● Falsificarea facială
PHARMING ATTACK

Atac prin care se urmăreşte redirecţionarea unui utilizator care

accesează un site legitim către un site nelegitim. Se realizează prin
modificarea host-urilor de pe computerul vizat sau prin exploatarea unei
vulnerabilități în software-ul serverului DNS, fără consimțământul
victimei.
PHISHING, SPEAR PHISHING, VISHING

Spear phishing vizează un anumit grup sau tip de persoană, cum ar fi

administratorul de sistem al unei companii.

Vishingul are același scop ca și alte tipuri de atacuri de tip phishing. Atacatorii sunt
interesați de informațiile personale sau corporative sensibile. Acest atac este realizat
printr-un apel vocal.
MAN-IN-THE-MIDDLE

O formă de interceptare în care atacatorul se interpune într-o

comunicaţie privată sau un schimb de date privat şi are posibilitatea de
a accesa sau modifica conţinutul acesteia
REPLAY ATTACK

Atac care constă în captarea unei informații transmise (autentificare,

informație de control, date despre transferuri bancare etc.) şi
retransmiterea sa ulterioară fără a fi detectată existența unei
interferențe în proces.

Un atac de reluare este un atac în care adversarul înregistrează o sesiune

de comunicare și reia întreaga sesiune, sau o parte a sesiunii, la un
moment ulterior în timp.
REPLAY ATTACK

În timpul atacurilor de reluare, intrusul trimite victimei același mesaj ca a

fost deja folosit în comunicarea victimei. Mesajul este criptat corect,
astfel încât receptorul său poate trata este ca pe o solicitare corectă și
poate lua acțiunile dorite de intrus

Atacatorul ar putea fie să fi interceptat un mesaj între două părți înainte,

fie să cunoască formatul mesajului din comunicarea anterioară cu una
dintre părți. Acest mesaj poate conține cheia secretă și poate fi folosit
pentru autentificare.
ATACURI ALE PAROLELOR

● Brute Force Attack

● Atac de tip Dicționar
● Hibrid
● Birthday Attack
● Rainbow table
BRUTE FORCE ATTACK

Metodă de acces neautorizat la un sistem IT&C sau de decodare a conţinutului

criptat folosind „forţa brută” de calcul, prin programe care aplică metoda încercare-
eroare (trial and error).

Metoda constă în încercarea succesivă a tuturor combinaţiilor posibile de caractere,

fără un algoritm elaborat. Este aplicabilă într-un număr limitat de situaţii, când
sistemele nu sunt protejate cu parole sigure (de ex. sunt formate din prea puţine
caractere) sau nu au implementate mecanisme anti-brute force (sistemul captcha sau
temporizarea accesului după un număr de accesări eşuate).
DICTIONARY ATTACK

Atac cibernetic care urmăreşte accesarea neautorizată a unor resurse sau sisteme
IT&C, prin încercarea succesivă a parolelor sau cheilor de decriptare aflate într-o
listă predefinită de cuvinte sau fraze.
RAINBOW TABLES

Bază de date sau set de valori criptate care pot fi folosite pentru a obţine valorile
iniţiale, în cazul în care au fost asociate anterior. De exemplu, valorile hash pot fi
introduse într-un motor de căutare pentru a obţine valorile iniţiale, înainte de
criptarea acestora.
ESCALADAREA DREPTURILOR

Escaladarea drepturilor este actul de exploatare a unei erori, a unui defect de

proiectare sau a unei erori de configurare într-un sistem de operare sau o aplicație
software pentru a obține acces sporit la resurse.
ATACURI DE TIP CLIENT-SIDE

Client: Sistem sau proces care adresează solicitări unui server, precum
transferul de date către, de la, sau prin intermediul serverului.

De exemplu, un navigator web este un client care se conectează la

servere și preia pagini web pentru afișare. Clientul de e-mail preia e-
mailurile de la serverele de e-mail.

Atacurile la nivelul clientului apar atunci când un utilizator descarcă

conținut rău intenționat. Fluxul de date este inversat în comparație cu
atacurile pe partea de server: atacurile pe partea clientului sunt inițiate
de la victimă care descarcă conținut de la atacator. Atacurile la nivelul
clientului sunt greu de atenuat pentru organizațiile care permit accesul la
Internet.
URL Hijacking

Hijacking: Tip de atac în care atacatorul preia controlul unei comunicații dintre
două entități cu scopul de a obține acces neautorizat

URL Hijacking este un proces în care un site web este eliminat în mod fals din
rezultatele unui motor de căutare și înlocuit cu o altă pagină web care trimite la
pagina la distanță
WATERING HOLE ATTACK

Metodă de atac care constă în compromiterea unui site, despre care

există indicii că va fi accesat de către anumite persoane vizate, prin
injectarea de script-uri şi „aşteptarea” victimei de fi infectată.
CROSS-SITE SCRIPTING (XSS)

Atac care exploatează o vulnerabilitate ce se regăseşte într-o pagină web şi care

permite unui atacator să introducă linii de cod în paginile web vizitate de alţi
utilizatori (victime), în scopul obţinerii de date cu acces restricţionat (Exemplu:
credenţiale de acces la conturi de e-banking, e-commerce, poştă electronică).

Atacul poate fi de două tipuri: XSS persistent şi XSS nepersistent

CROSS-SITE REQUEST FORGERY (CSRF)

Vulnerabilitate prin intermediul căreia un site nelegitim trimite o cerere către o

aplicație web la care un utilizator (victimă) este deja autentificat. Cererile
nelegitime sunt redirectate către site-ul ţintă prin intermediul browser-ului victimei.

În acest caz vulnerabilitatea se regăseşte în aplicaţia web ţintă şi nu în browser-ul

victimei şi nici în pagina infectată. Nu are ca scop furtul de date, ci determinarea
victimelor să modifice informații precum adresa de e-mail, să efectueze transferuri
bancare etc.
SQL INJECTION

Vulnerabilitate a unei aplicaţii, care are ataşată o bază de date şi

care permite unui eventual atacator să altereze interogarea SQL,
transmisă bazei de date sau când, prin injectarea sintaxei, logica
interogării este modificată astfel încât să execute o acţiune
diferită.

O vulnerabilitate de tip SQL injection (injecţie cu cod sursă

SQL) apare atunci când un atacator poate introduce orice date
într-o interogare SQL transmisă unei baze de date sau când, prin
injectarea sintaxei, logica declaraţiei este modificată în
asemenea fel încât să execute o acţiune diferită. Injecţia SQL
poate fi crucială pentru sistem dar, în ciuda pericolului pe care îl
prezintă, este cea mai frecvent întâlnită vulnerabilitate
DIRECTORY TRAVERSAL

Directory traversal (cunoscut și sub numele de file path traversal) este o

vulnerabilitate de securitate web care permite unui atacator să citească fișiere
arbitrare de pe serverul care rulează o aplicație.

Acestea pot include codul aplicației și datele, acreditările pentru sistemele back-end
și fișierele sensibile ale sistemului de operare. În unele cazuri, un atacator ar putea
să scrie în fișiere arbitrare de pe server, permițându-le să modifice datele sau
comportamentul aplicației și, în cele din urmă, să preia controlul deplin asupra
serverului.
BUFFER OVERFLOW

Vulnerabilitate prezentă la nivelul codului sursă al unei aplicaţii ce permite

depăşirea capacităţii alocate unui buffer şi modificarea memoriei adiacente acestuia.
Această vulnerabilitate este folosită pentru a infecta sisteme informatice cu
malware.

Buffer:
● Parte din memoria unui dispozitiv, utilizată pentru stocarea temporară a unor
date şi informaţii pentru a fi procesate ulterior.
ATAC DE REŢEA

Atac care vizează perturbarea reţelelor şi utilizatorilor acesteia prin manipularea

protocoalelor de comunicare. Cele mai folosite metode de atac: spoofing, session
hijacking, atacuri wireless şi atacuri prin aplicaţii web.
ARBITRARY CODE AND REMOTE CODE EXECUTION

Vulnerabilitate ce conferă posibilitatea unui atacator de a executa, de la distanţă,

comenzi la nivelul sistemului de operare sau al unei aplicaţii, cu diferite privilegii.
 02
CELE MAI COMUNE RISCURI
DIN ULTIMII ANI
1. SQL INJECTION
SQL INJECTION
SQL INJECTION

Exemplul anterior vizează un formular de autentificare ce are în spate funcția PHP

din tabel. Datorită faptului că datele de intrare, respectiv numele utilizatorului și
parola nu sunt validate (adică să ne asigurăm ca atacatorul va introduce un nume
valid de utilizator și nu alte date) atacatorul va putea insera cod SQL, în câmpul
de user, astfel încât sensul interogării SQL se schimbă complet, permițând
ocolirea mecanismului de autentificare.

Cea mai bună strategie de apărare împotriva injecţiilor SQL se bazează pe

implementarea unor rutine puternice de validare a datelor de intrare, astfel încât
atacatorul să nu poată introduce alte date decât cele necesare aplicației.
SOLUȚII DE COMBATERE A SQL INJECTION

1. Utilizarea de variabile bine definite şi de definiţii ale coloanelor din baza de

date
Stocarea şi manipularea numerelor (ID-uri de sesiune, coduri etc.) ca şi numere întregi
sau ca alte tipuri numerice potrivite. String-urile (varchars) ar trebui să conţină doar
caractere alfanumerice şi să respingă semnele de punctuaţie şi caracterele specifice
sintaxei SQL.

2. Atribuirea rezultatelor interogării unei variabile bine definite

Dacă aplicaţia caută valori numerice, atunci atribuiţi rezultatul unui număr întreg, acest
lucru împiedicându-i pe atacatori să extragă informaţii din baza de date. De exemplu nu
ar trebui să fie posibilă obţinerea şi afişarea numelui unei coloane, dacă variabila ce
urmează să fie afişată în browser nu acceptă decât numere întregi. Această tehnică
restricţionează sever anumite atacuri.
SOLUȚII DE COMBATERE A SQL INJECTION

3. Limitarea lungimii datelor

Toate şirurile de caractere ar trebui să se limiteze la o lungime potrivită scopului lor. Un
nume de utilizator, de exemplu, nu este necesar să fie stocat şi manipulat într-o variabilă
care utilizează 256 de caractere. Limitarea numărului de caractere, care poate fi introdus
într-un câmp, poate împiedica în mod eficient succesul unei injecţii SQL, reducând
lungimea şirului de caractere pe care atacatorul îl poate introduce în cod.

4. Evitarea creării de interogări prin concatenarea de şiruri de caractere

Creaţi o funcţie view sau o procedură care operează asupra variabilelor furnizate de
aplicaţie. Concatenarea şirurilor de caractere, unde interogarea este formată direct din
datele furnizate de utilizatori (de genul: “œ
SELECT something FROM table WHERE” +
variable a), este cea mai vulnerabilă la atacurile SQL Injection. Pe de altă parte, o
funcţie view sau o procedură particularizată, generează de obicei o eroare dacă primeşte
date de intrare incorecte, însă nu îi va permite unui atacator să manipuleze întreaga
interogare.
SOLUȚII DE COMBATERE A SQL INJECTION

5. Aplicarea separării datelor şi accesul pe baza de rol în interiorul bazei de date

Aplicaţia ar trebui să folosească un cont care are privilegii de acces doar pentru tabelele
necesare respectivei funcţii. Tabelele interne ale bazei de date, în special cele legate de
managementul conturilor şi variabilele sistemului, nu ar trebui să fie accesibile.
2. XSS
XSS

XSS este o tehnică de atac, folosită pentru a forţa o pagină web să afişeze un cod
maliţios (scris de obicei în HTML + JavaScript), pe care îl execută ulterior în browser-
ul unui utilizator. Acest tip de atac nu are ca ţintă serverul siteului web, codul malware
fiind executat direct în browser, deoarece adevărata ţintă a atacului este
utilizatorul.

Hackerul va folosi site-ul doar pentru a efectua atacul şi odată ce are control asupra
browser-ului utilizatorului, îl va putea folosi pentru a-i fura diferite date: conturi
bancare, conturi de utilizator, parole, furtul înregistrărilor din istoricul browser-ului etc.
XSS

Sunt mai multe modalităţi prin care un malware scris în JavaScript poate deveni
rezident pe o pagină web:

• Proprietarul paginii web îl poate încărca intenţionat;

• Un atacator îl poate injecta în secțiunea publică a unui site profitând de anumite
vulnerabilități ale acesteia (vulnerabilitate permanentă).
• Pagina web poate primi un script folosind o vulnerabilitate a reţelei sau a straturilor
sistemului de operare, iar parte din codul introdus să fie malware JavaScript:
• Victima poate accesa un link special pregătit (transmis prin mail sau alte metode) în
spatele căruia se ascunde un XSS non-persistent sau bazat pe Document Object
Model (DOM)
ATACUL DE TIP NON-PERSISTENT

Dacă atacatorul doreşte să atace prin XSS pagina http://vulnerabil.com/ - spre exemplu
un site de comerţ electronic, mai întâi trebuie să găsească o vulnerabilitate la XSS. În
acest scop caută un parametru de unde utilizatorul poate trimite mesaje la server şi la
care primeşte mesaje înapoi (de obicei un câmp pentru căutare). Dacă introduce “test
pentru xss” în câmpul de căutare, răspunsul va fi un nou url cu un şir de interogare care
conţine “test+pentu+xss” ca şi valoare a parametrului p.

Această valoare poate fi schimbată dacă introducem codul HTML/JavaScript:

“><script>alert(‘XSS%20Test’). Ca şi rezultat pagina va afişa o fereastră de dialog
inofensivă (după instrucţiunea din cod) care este acum parte din pagină, demonstrând
succesul codului care acum face parte din http://vulnerabil.com/. De aici URL-ul poate
fi modificat să conţină atacuri XSS mai complexe (ex: furtul de cookie-uri).
ATACUL DE TIP NON-PERSISTENT

Exemplu:

Se va naviga la adresa http://www.altoromutual.com/, iar în formulat de căutare se va

adăuga

</span><script>alert('XSS');</script><span>

http://www.altoromutual.com/search.jsp?query=%3C%2Fspan%3E%3Cscript%3Ealert
%28%27XSS%27%29%3B%3C%2Fscript%3E%3Cspan%3E
3. MESAJE DE EROARE PREA
DETALIATE
MESAJE DE EROARE PREA DETALIATE

Nu sunt un tip de atac în sine, însă mesajele de eroare cu scop informativ pot conţine
adresele complete şi numele fişierelor, descrieri ale tabelelor SQL, erori ale bazei de
date sau alte erori legate de aplicaţie şi mediul în care rulează. Un formular tipic de
autentificare îi cere utilizatorului să introducă două informaţii (nume de utilizator şi
parolă), alte aplicaţii cer mai multe informaţii (data naşterii, un cod PIN). Când un
10 / 26
proces de autentificare dă greş, poţi, în mod evident, să îţi dai seama că una din
informaţiile introduse nu au fost corecte, însă uneori aplicaţia te anunţă care din ele a
fost greşită.
MESAJE DE EROARE PREA DETALIATE

Nu sunt un tip de atac în sine, însă mesajele de eroare cu scop informativ pot conţine
adresele complete şi numele fişierelor, descrieri ale tabelelor SQL, erori ale bazei de
date sau alte erori legate de aplicaţie şi mediul în care rulează.

Un formular tipic de autentificare îi cere utilizatorului să introducă două informaţii

(nume de utilizator şi parolă), alte aplicaţii cer mai multe informaţii (data naşterii, un
cod PIN). Când un proces de autentificare dă greş, poţi, în mod evident, să îţi dai seama
că una din informaţiile introduse nu au fost corecte, însă uneori aplicaţia te anunţă care
din ele a fost greşită.
MESAJE DE EROARE PREA DETALIATE

Acest lucru poate fi folosit pentru a diminua eficienţa mecanismului de autentificare. În

cel mai simplu caz, unde autentificarea cere nume de utilizator şi parolă, aplicaţia poate
răspunde la o autentificare nereuşită prin identificarea motivului (nu a recunoscut
numele de utilizator sau parola este greşită).

Atacul: Într-un asemenea caz, puteţi folosi o metodă automată de atac, care să parcurgă
o listă mare de nume comune de utilizatori pentru a afla care din ele sunt valide, deşi în
general numele utilizatorilor nu sunt considerate a fi secrete, identificarea lor îi dă
atacatorului şanse mai mari de a compromite aplicaţia folosindu-se de timp, abilitate şi
efort. O listă de nume de utilizatori enumerați poate fi folosită ulterior pentru diverse
metode de atac incluzând: ghicirea parolelor, atacuri asupra datelor utilizatorilor sau
inginerie socială
4. AUTHENTICATION BYPASS
AUTHENTICATION BYPASS

În traducere – Ocolirea sistemului de autentificare

Autentificarea dovedeşte, într-o oarecare măsură, identitatea unei persoane sau entităţi.
De exemplu, toţi folosim parole pentru a ne autentifica în conturile personale de e-mail.
Paginile web folosesc certificate Secure Socket Layer (SSL) pentru a valida faptul că
traficul provine într-adevăr de la domeniul solicitat de către site, acest lucru
neasigurându-ne că site-ul este cel adevărat şi nu o copie.

Atacatorul are două opţiuni pentru a sparge un sistem de autentificare: utilizarea unei
parole furate sau evitarea verificării autentificării. Pentru a identifica şi monitoriza
activitatea unui utilizator pe o pagina web, acestuia i se atribuie un token de sesiune
unic, de obicei sub formă de cookie-uri. Odată autentificat, utilizatorul respectiv este
identificat doar după cookie-ul de sesiune, deci dacă un atacator îl compromite,
ghicindu-i valoarea sau furându-l, reuşeşte să treacă cu succes de mecanismul de
autentificare a paginii respective şi să îi ia locul victimei.
5. AUTHORIZATION BYPASS
AUTHORIZATION BYPASS

Vulnerabilităţile ce ţin de autorizare şi acces pot apărea oriunde în aplicaţia web şi se

referă la ce se întâmplă atunci când un atacator are acces la o resursă la care în mod
normal au acces doar utilizatorii autentificaţi sau care deţin anumite privilegii în acele
aplicaţii.

Cele mai folosite tehnici pentru eludarea restricțiilor referitoare la autorizare:

- Traversarea de directoare (directory traversal);
- Evitarea unor mecanisme de autorizare; - Escaladarea privilegiilor.
DIRECTORY TRAVERSAL/ PATH TRAVERSAL

Serverele restricţionează utilizatorii care navighează pe un site la documentul rădăcină

al acestuia, a cărui localizare depinde de sistemul de operare instalat pe server, şi
adiţional în funcţie de permisiunile de citire/scriere/execuţie pe care le are utilizatorul
respectiv asupra fişierelor de pe server.

Subminarea unui script de execuţie pentru a traversa directoarele serverului şi a citi

fişiere protejate cum ar fi /etc/passwd este cunoscută ca atac cu traversare de directoare.
Cum aproape toate aplicaţiile web folosesc roluri (ex: utilizator neautentificat /
utilizator autentificat / administrator) care pot avea diferite nivele de acces, un atacator
poate reuşi să acceseze un privilegiu restricţionat nivelului lui de acces şi să
evite mecanismul de autorizare, acest lucru se face de obicei prin schimbarea rolului
într-unul superior.
 6. VULNERABILITĂȚI ÎN
MANAGEMENTUL SESIUNILOR
MANAGEMENTUL SESIUNILOR

Autentificarea şi managementul sesiunilor includ toate aspectele ce ţin de manipularea

datelor de autentificare ale utilizatorului şi managementul sesiunilor active ale acestuia.

Autentificarea este un proces critic al acestui aspect, dar până şi cel mai solid proces de
autentificare poate fi subminat de erori ale funcţiilor pentru verificarea credenţialelor,
incluzând: schimbarea parolelor, funcţia de recuperare a parolelor uitate, funcţia de
amintire a parolelor de către aplicaţia web, update-uri ale conturilor şi alte funcţii legate
de acestea. Pentru a evita astfel de probleme, pentru orice fel de funcţii legate de
managementul conturilor, ar trebui să ceară reautentificarea utilizatorului, chiar dacă
acesta are un id de sesiune valid.
MANAGEMENTUL SESIUNILOR

Toate serverele web, serverele de aplicaţii şi mediile aplicaţiilor web cunoscute sunt
susceptibile la problemele legate de evitarea mecanismelor de autentificare şi de
management al sesiunilor. Acest gen de vulnerabilitate se bazează mult pe eroare umană
şi tehnologii care nu îndeplinesc standardele de securitate necesare.
7. Cross-site Request Forgery
(CSRF)
CSRF

Cross-site Request Forgery (CSRF sau XSRF) este o formă de atac asupra aplicaţiilor
web care se foloseşte de relaţiile de încredere existente între aplicaţiile web şi
utilizatorii autentificaţi prin a forţa acei utilizatori să facă tranzacţii sensibile în numele
atacatorului.

Această vulnerabilitate, deşi mai puţin cunoscută ca XSS, este mult mai periculoasă
decât cross-site scripting, deoarece îşi are rădăcinile în natura lipsită de stare (stateless)
ale specificaţiilor HTTP-ului, care cer ca un token de autentificare să fie trimis cu
fiecare cerere a utilizatorului.
ATACUL

Un exemplu clasic este cel al unei aplicaţii bancare care le permite utilizatorilor să
transfere fonduri dintr-un cont în altul folosind o cerere simplă GET prin HTTP.
Presupunem că aplicaţia foloseşte următoarea modalitate de a transfera fondurile:
http://xsrf.bancavulnerabila.com/transferFonduri.aspx?Incontul=12345&fonduri=1000.
00&valuta=euro

Continuând cu exemplul de mai sus, presupunem că un atacator creează o pagina

HTML maliţioasă pe un sistem care se află sub controlul lui şi care conţine următorul
cod JavaScript:
<script type aœtext/javascript”>
œ
Var i document.createElement(aœ œ
image”);
i.src="http://xsrf.bancavulnerabila.com/transferFonduri.aspx?"Incontul=ATACATOR&
fonduri=1000.00&valuta=euro”;
</script>
8. DISEMINAREA CODULUI
SURSĂ
SOURCE CODE DISCLOSURE

Divulgarea codului sursă este o eroare de codare, foarte des întâlnită, în aplicaţiile web,
care pot fi exploatate de către un atacator pentru a obţine codul sursă şi configurarea
fişierelor prin intermediul HTTP, acest lucru oferindu-i atacatorului o înţelegere mai
profundă a logicii aplicaţiei web.

Multe pagini web oferă utilizatorilor fişiere pentru download folosind pagini dinamice
specializate. Când browser-ul cere pagina dinamică, mai întâi serverul execută fişierul
şi apoi returnează rezultatul în browser, deci paginile dinamice sunt, de fapt, coduri
executate pe serverul web. Dacă această pagină nu este codată suficient de securizat, un
atacator o poate exploata pentru a descărca codul sursă şi chiar fişierele de configurare.
SOURCE CODE DISCLOSURE

Obţinerea codului sursă al aplicaţiilor de pe server îi oferă atacatorului o imagine mai

bună asupra logicii aplicaţiei, modul în care aplicaţia gestionează cererile şi parametrii
lor, structura bazei de date, vulnerabilităţile codului şi comentariile introduse în el.

Odată ce are codul sursă şi posibil un duplicat al aplicaţiei pe care să poată face teste,
atacatorul se poate pregăti pentru un atac asupra aplicaţiei.
9. ERORI LOGICE
ERORI LOGICE

Toate aplicaţiile web folosesc logica pentru a avea funcţionalitate. A scrie cod întrun
limbaj de programare, nu înseamnă nimic altceva decât descompunerea unui proces
complex în paşi mici şi simpli, pentru a aduce ceea ce este pe înţelesul oamenilor la
nivelul la care poate fi executat de către computer.

Erorile logice oferă o bază foarte mare şi variată de atac, însă de multe ori sunt trecute
cu vederea deoarece rareori pot fi scanate cu programe specializate în identificarea
vulnerabilităţilor, nu au o semnătură specializată ca şi vulnerabilităţile de tip SQL
injection sau cross-site scripting şi sunt mai greu de recunoscut şi caracterizat.
ERORI LOGICE

Erorile logice apar atunci când programatorul sau dezvoltatorul aplicaţiei web nu se
gândeşte la toate efectele pe care le poate avea codul asupra aplicaţiei, luând în
considerare numai un anumit efect (cel pe care el intenţionează să-l implementeze în
primul rând) şi omiţând alte efecte posibile (secundare).

Atunci când un număr mare de programatori şi designeri diferiţi lucrează în paralel la

aceeaşi aplicaţie, există şanse foarte mari să apară erori
10. SOFTWARE VULNERABIL DIN
PARTEA ALTOR PRODUCĂTORI
SOFTWARE VULNERABIL DIN PARTEA ALTOR PRODUCĂTORI

Când vine vorba de aplicaţii care provin de la diferite companii, majoritatea designerilor
şi proprietarilor de aplicaţii web presupun că acestea sunt sigure şi nu le mai testează
înainte de implementare ceea ce poate duce la breşe grave de securitate ale aplicaţiei
web. Multe aplicaţii web provenite din terţe părţi sunt nesigure şi de multe ori acestea
vin cu un nume de utilizator şi parolă implicit.

Aceasta este o breşă gravă de securitate deoarece, dat fiind faptul că o parolă de
administrare ”default” ghicită poate oferi acces la multiple opțiuni de configurare ale
aplicației inclusiv la toate datele stocate în baza de date. Așadar parolele și conturile
implicite trebuie întotdeauna schimbate.
 03
DETECTAREA
VULNERABILITĂȚILOR
DETECTAREA VULNERABILITĂȚILOR APLICAȚIILOR WEB

O etapă esențială pentru orice dezvoltator de aplicații web este identificarea acestor
vulnerabilități și tratarea acestora corespunzător. În acest sens, există numeroase
instrumente software automate pentru detectarea vulnerabilităților, care, de cele mai
multe ori, dau și recomandări pentru rezolvarea problemelor identificate.
Scanarea vulnerabilităților este o etapă de bază, ce trebuie realizată înainte de punerea
în producție a oricărei aplicații web.
1. PORT SCANNING &
FOOTPRINTING
PORT SCANNING & FOOTPRINTING

Port Scanning este procesul care trimite cererile clientului către o serie de adrese de
porturi de server de pe o gazdă, cu scopul de a găsi un port activ.

Footprinting este procesul de utilizare a diverselor instrumente și tehnologii pentru a

înțelege și a învăța cel mai bun mod de a ataca o țintă.

Instrumente recomandate: Nmap (ZenMap), Hping3, Netcat, masscan

2. ANALIZA TRAFICULUI
ANALIZA TRAFICULUI

Analiza traficului este procesul de interceptare și examinare a mesajelor pentru a deduce

informații din tiparele de comunicare, care pot fi efectuate chiar și atunci când mesajele
sunt criptate.

Instrumente recomandate: Wireshark, Smartsniff

3. ENUMERAREA APLICAȚIILOR
ENUMERAREA APLICAȚIILOR

Un pas esențial în testarea vulnerabilităților aplicațiilor web este acela de a afla care
aplicații particulare sunt găzduite pe un server web. Multe aplicații au vulnerabilități
cunoscute și strategii de atac cunoscute care pot fi exploatate pentru a obține control de
la distanță sau pentru a exploata date.

În plus, multe aplicații sunt adesea configurate greșit sau nu sunt actualizate, din cauza
percepției că sunt folosite doar „intern” și, prin urmare, nu există nicio amenințare.
 4. IDENTIFICAREA
VULNERABILITĂȚILOR
IDENTIFICAREA VULNERABILITĂȚILOR

Identificarea vulnerabilităților este un proces de definire, identificare și clasificare a

breșelor de securitate în sistemele de tehnologie a informației.

Instrumente recomandate: Nessus Professional Vulnerability Scanner, OpenVas,

Acunetix, Netsparker, Scuba
5. TESTE DE PENETRARE A
APLICAȚIILOR WEB
PEN-TESTING (TEST DE PENETRARE)

Metodologie de testare a securităţii unei infrastructuri cibernetice, prin simularea unui

atac din exteriorul şi / sau interiorul acesteia, în vederea stabilirii potenţialelor
vulnerabilităţi şi măsurilor necesare îmbunătăţirii nivelului de securitate.

Instrumente recomandate: Burp Professional, Acunetix, Metasploit, W3af, Zed

Attack Proxy
 04
ETAPELE UNUI PENTEST
PEN-TESTING (TEST DE PENETRARE)

1. Planificarea și Recunoașterea țintei

2. Scanarea
3. Identificarea vulnerabilităților
4. Exploatarea
5. Analiza finală și documentarea
6. Utilizarea rezultatelor
PLANIFICAREA ȘI RECUNOAȘTEREA ȚINTEI

Definirea domeniului de aplicare și a obiectivelor unui test, inclusiv a sistemelor care

trebuie abordate și a metodelor de testare care trebuie utilizate.

Colectarea informațiilor (de exemplu, nume de rețea și de domenii, server de e-mail)

pentru a înțelege mai bine cum funcționează o țintă și potențialele sale vulnerabilități.
SCANAREA

Se studiază modul în care aplicația țintă răspunde la diferite încercări de intruziune.

Acest lucru se face de obicei folosind:

Analiză statică – Inspectarea codului unei aplicații pentru a estima modul în care se
comportă în timpul rulării. Aceste instrumente pot scana întregul cod într-o singură
trecere.

Analiză dinamică – Inspectarea codului unei aplicații în stare de rulare. Acesta este un
mod mai practic de scanare, deoarece oferă o vedere în timp real a performanței unei
aplicații.
IDENTIFICAREA VULNERABILITĂȚILOR

O evaluare a vulnerabilității este efectuată pentru a obține cunoștințe inițiale și pentru a

identifica eventualele deficiențe de securitate care ar putea permite unui atacator extern
să obțină acces la mediul sau la tehnologia testată.

Totuși, o evaluare a vulnerabilității nu înlocuiește niciodată un test de penetrare.

EXPLOATAREA

Pe baza rezultatelor evaluării vulnerabilităților, testerii de penetrare vor folosi tehnici

manuale, intuiția umană și mediul lor pentru a valida, ataca și exploata acele
vulnerabilități.
ANALIZA FINALĂ ȘI DOCUMENTAREA

Acest raport cuprinzător include relatări despre locul în care am început testarea, cum
am găsit vulnerabilități și cum le-am exploatat. Include, de asemenea, domeniul de
aplicare al testării de securitate, metodologiile de testare, constatările și recomandările
pentru corecții.Acolo unde este cazul, va prezenta și opinia testatorului de penetrare cu
privire la dacă testul dvs. de penetrare respectă sau nu cerințele cadrului aplicabile.
ANALIZA FINALĂ ȘI DOCUMENTAREA

Organizația testată trebuie să folosească efectiv rezultatele testelor de securitate pentru a

clasifica vulnerabilitățile la risc, pentru a analiza impactul potențial al vulnerabilităților
găsite, pentru a determina strategii de remediere și pentru a informa luarea deciziilor în
viitor.
MULŢUMESC