Documente Academic
Documente Profesional
Documente Cultură
CIBERNETICĂ
1. Aspecte Introductive
01
INTRODUCERE
INTRODUCERE
Legendă:
SNSC = Sistemul Național de Securitate Cibernetică; COSC = Consiliul Operativ de Securitate Cibernetică;
SRI = Serviciul Român de Informații; CERT-RO = Centrul de Răspuns la Incidente de Securitate
CNSC = Centrul Național de Securitate Cibernetică; Cibernetică;
CSAT = Consiliul Suprem de Apărare a Țării; CERT = Computer Emergency Response Team.
CERT-RO
HACKERI
● scopul și intenția;
● roluri și responsabilități;
● criterii de performanță;
● documente de referință.
PROCEDURILE
● Phishing
● Impersonation
● Alarme False
● Shoulder Surfing
● Dumpster Diving
● Tailgating
SOCIAL ENGINEERING
Nume Caracteristici
Virus Modifică fişiere sau programe fără voia utilizatorului
Dropper Program de transfer de date utilizat pentru a introduce în sistem un alt tip de malware
Malware de tip Script Malware specific limbajelor de scripting, precum JavaScript sau ActiveX
Virusul este un program creat pentru a infecta un sistem informatic. Numele a fost
atribuit prin analogie cu virusul biologic, existând o serie de similitudini legate de
modul de funcţionare a celor două.
• rezident – se află în memoria RAM şi poate interfera cu funcţionarea normală a sistemului, ceea
ce poate genera coruperea fişierelor şi a programelor;
• nerezident – spre deosebire de virusul rezident, acesta nu este localizat în memoria RAM.
Atunci când este executat, scanează discul pentru ţinte, le infectează şi apoi eliberează zona de
memorie (nu rămâne în memorie după ce este executat);
• cu acţiune directă (direct action virus) - atacă anumite tipuri de fişiere, de obicei fişierele cu
extensiile .exe sau .com. Scopul principal al acestui virus este replicarea şi infectarea fişierelor din
foldere. De regulă, astfel de viruşi nu şterg fişiere şi nu afectează viteza PC-ului. În plus pot fi
eliminaţi relativ uşor de programele antivirus;
TIPURI DE VIRUȘI
• ai scripturilor web (web scripting virus) – acest tip de virus se poate afla în legături, reclame,
imagini, videoclipuri şi chiar în structura unui website. Aceste componente software infectate
pot duce la descărcarea de malware sau îndruma utilizatorii către website-uri periculoase;
TIPURI DE VIRUȘI
• de tip macro (macro virus) – vizează soluţii software care conţin comenzi de tip macro;
• de directoare (directory virus) – schimbă calea fişierelor, astfel încât atunci când fişierele
infectate sunt accesate, este rulat şi virusul în fundal;
• de fişiere (file infector virus) - acest virus infectează fişiere sau programe executabile. Când
sunt executate fişiere sau programe infectate, este activat şi virusul care poate încetini
sistemele software şi produce alte efecte dăunătoare;
• criptat – utilizează cod maliţios criptat pentru a îngreuna detectarea acestora de către
antiviruşi. De regulă, pot fi detectaţi în timpul replicării;
TIPURI DE VIRUȘI
• companion - acesta tip de virus nu supravieţuieşte decât însoţind un fişier sau un folder
existent.
• de reţea - se răspândeşte prin reţeaua locală (LAN) şi prin internet. Viruşii de reţea se replică
prin resurse partajate, inclusiv unităţi şi foldere;
• ascuns (stealth) – viruşii ascunşi utilizează diverse tehnici pentru a îngreuna detectarea
acestora, activându-se ocazional. Din această cauză, antivirusul poate avea dificultăţi în
identificarea lor;
• spacefiller - se ataşează la fişier şi poate modifica începutul programului sau schimba codul
criptat.
• FAT (file allocation table, în traducere: tabelă de alocare fişiere) – acest tip de virus
afectează tabela de alocare a fişierelor, unde sunt localizate informaţii despre fişiere, precum
zonele de memorie unde acestea sunt stocate ş.a.
07
ANTIVIRUS
ANTIVIRUS
Cont: Informatică
Parolă: Securitate Cibernetică.
● bd4874c7ae9a083fc2765a0adb8558dba0767c92
TIPURI DE SISTEME CRIPTOGRAFICE
A doua cheie ‒ cea publică, perechea cheii private, este cunoscută ambilor
parteneri de dialog.
CRIPTOGRAFIA CU CHEIE ASIMETRICĂ
CRIPTOGRAFIA CU CHEIE ASIMETRICĂ
● ,,Un certificat digital este o «carte de identitate» virtuală care poate permite
crearea unei semnături electronice cu valoare legală, permiţând identificarea fără
echivoc în mediul electronic. Prin semnătură electronică se garantează
trasabilitatea modificării documentelor (integritatea), originea
lor (autenticitatea), precum şi răspunderea legală a
semnatarului (nonrepudierea)” (certSIGN)
Atât clientul, cât și serverul folosesc acum HTTPS (SSL/TLS + HTTP) pentru
comunicarea lor. Browserele web validează acest lucru cu o pictogramă de lacăt în
bara de adrese a browserului. HTTPS funcționează prin portul 443.
10
BUNE PRACTICI
CALCULATORUL PERSONAL
5. Adesea oamenii aleg parole simple pentru a și le aminti ușor. Pentru a seta
și ține minte o parolă bună este recomadată utilizarea unor metode de
generare. Una dintre cele mai simple este să alegem o frază pe care o
folosim frecvent și să facem modificări după cum ne dorim.
● Exemplu: Pornind de la fraza: ,,Îmi place informatica, dar cel mai mult
securitatea cibernetică” putem efectua modificări astfel: î și i devin !, a
devine @, e devine 3, o devine 0 și eliminăm spațiile. De asemenea, prima
literă a fiecărui cuvânt va fi scrisă cu majuscule. Va rezulta:
!m!Plac3!nf0rm@t!c@3c0n0m!c@D@rmM@!@l3S3cur!t@t3@C!b3rn3t!c@.
MĂSURI PENTRU GESTIONAREA CONTURILOR
Atacul a exploatat cea mai vulnerabilă parte a sistemului: omul. Nu a fost un atac
foarte sofisticat. Un bot a scanat pur și simplu suprafața web și a identificat
vulnerabilități pe una sau mai multe dintre stațiile de lucru cu care angajați ASE se
conectau de la distanță la componentele cheie ale platformei universității.
Ca o notă istorică, platforma online a universității este în uz din 2012. Cu toate acestea,
utilizarea platformei online a fost opțională și doar unii membri ai facultății au folosit-
o.
În timpul trecerii la învățământul online din cauza COVID-19 care a fost implementată
în România în martie 2020, toți membrii facultății au trebuit să-l folosească pentru
toate lecțiile. Acest lucru a creat o situație în care un număr mare de membri ai
facultății au fost nevoiți să investească eforturi suplimentare în conectarea la sistemele
universității.
PAȘII ATACULUI (3)
La un moment dat, în timpul verii, existau sute de conexiuni desktop la distanță care
erau deschise pe diferite computere din interiorul universității. Numărul a crescut la
două sute în câteva luni. Acest lucru s-a întâmplat în ciuda recomandărilor puternice
ale Departamentelui IT de a evita astfel de conexiuni nesigure.
PAȘII ATACULUI (4)
Nu a fost dificil pentru un atacator să folosească una dintre aceste conexiuni desktop la
distanță pentru a intra în rețeaua universității. Atacatorii și-au alocat timpul necesar
pentru a înțelege structura rețelei pentru a identifica diferitele componente, inclusiv
serverele de rezervă.
Partea finală a atacului a fost efectuată într-un moment în care vizibilitatea era la
apogeu. Serverele au fost criptate la câteva zile după începerea noului an universitar.
Acest lucru arată că atacatorii au vrut să maximizeze impactul acțiunilor lor.
PAȘII ATACULUI (5)
Principala problemă a fost criptarea activelor digitale ale universității. De-a lungul
anilor, universitatea a produs cantități substanțiale de cursuri care au fost localizate pe
diferite mașini situate în centrul de date. Cursurile au inclus colecții constante de cod,
platforme educaționale personalizate și multe altele.
Codul malware care a criptat activele digitale ale universității a creat o întrerupere
majoră. Mulți membri ai facultății nu au reușit să ia legătura cu studenții lor și toate
sistemele au fost oprite, inclusiv serverele de e-mail.
Situația s-a complicat întrucât atacul a coincis cu un vârf de infecții cu virusul COVID-
19 care a avut loc în noiembrie în România. Acest lucru a limitat accesul la sediile
universității.
PRINCIPALELE CAUZE
Lipsa unei pregătiri adecvate a fost o altă problemă majoră. Dacă membrii facultății
ar fi fost mai bine pregătiți, șansele atacatorilor ar fi fost considerabil reduse.
CONCLUZII
De mulți ani, inginerii au creat software de securitate cibernetică gândindu-se mai ales
la modalități de a maximiza performanța tehnică și securitatea. De asemenea, este
important să creați un software ușor de utilizat, pe care utilizatorii normali sunt dispuși
să îl accepte.
02
PRINCIPALELE TIPURI DE
ATACURI CIBERNETICE
DOS
Denial of Service, prescurtat DoS, este un atac folosit pentru a refuza accesul
utilizatorilor legitimi la o resursă, cum ar fi accesarea unui website, a unei reţele, a
e-mailurilor etc.
Acest tip de atac este de obicei implementat prin atacarea resursei ţintă, cum ar fi un
server web către care sunt trimise prea multe cereri în acelaşi timp. Serverul nu
poate răspunde la toate solicitările, iar efectul acestei situaţii poate fi inactivitatea
serverelui sau încetinirea acestuia. Decuplarea unor afaceri de la accesul la internet,
chiar şi pentru o perioadă scurtă de timp, poate duce la pierderi financiare
semnificative pentru acestea. Numeroase organizaţii depind de internet şi de reţelele
de calculatoare, unele dintre soluţii cum ar fi gateway-uri de plată, website-urile de
comerţ electronic depind în întregime de internet
DDOS
● Un botnet reprezintă un set de computere care se află sub controlul unui atacator.
Aceste sisteme compromise poartă denumirea de ‘bots’ sau ‘zombies’. Aceasta
este o rețea de sisteme informatice infectate care sunt controlate de alte
persoane/organizații decât deținătorii acestora.
● În prezent botnet-ul poate fi folosit ca marfă. Părțile interesate pot chiar închiria o
rețea de tip botnet pentru a-și atinge scopurile malițioase și inclusiv pentru a
obține avantaje materiale. Mai mult, acestea pot acționa pe mai multe sisteme de
operare. Spre exemplu, în 2012 botnet-ul ‘’Flashback’’ a reușit să infecteze
aproximativ 600.000 de computere Apple. Pagina 9 din 18
● Conform unui raport CERT-RO, peste 80% dintre alertele primite de la companii se
referă la activităţi suspecte/maliţioase generate de reţelele de tip botnet.
SPOOFING ATTACK
Vishingul are același scop ca și alte tipuri de atacuri de tip phishing. Atacatorii sunt
interesați de informațiile personale sau corporative sensibile. Acest atac este realizat
printr-un apel vocal.
MAN-IN-THE-MIDDLE
Atac cibernetic care urmăreşte accesarea neautorizată a unor resurse sau sisteme
IT&C, prin încercarea succesivă a parolelor sau cheilor de decriptare aflate într-o
listă predefinită de cuvinte sau fraze.
RAINBOW TABLES
Bază de date sau set de valori criptate care pot fi folosite pentru a obţine valorile
iniţiale, în cazul în care au fost asociate anterior. De exemplu, valorile hash pot fi
introduse într-un motor de căutare pentru a obţine valorile iniţiale, înainte de
criptarea acestora.
ESCALADAREA DREPTURILOR
Client: Sistem sau proces care adresează solicitări unui server, precum
transferul de date către, de la, sau prin intermediul serverului.
Hijacking: Tip de atac în care atacatorul preia controlul unei comunicații dintre
două entități cu scopul de a obține acces neautorizat
URL Hijacking este un proces în care un site web este eliminat în mod fals din
rezultatele unui motor de căutare și înlocuit cu o altă pagină web care trimite la
pagina la distanță
WATERING HOLE ATTACK
Acestea pot include codul aplicației și datele, acreditările pentru sistemele back-end
și fișierele sensibile ale sistemului de operare. În unele cazuri, un atacator ar putea
să scrie în fișiere arbitrare de pe server, permițându-le să modifice datele sau
comportamentul aplicației și, în cele din urmă, să preia controlul deplin asupra
serverului.
BUFFER OVERFLOW
Buffer:
● Parte din memoria unui dispozitiv, utilizată pentru stocarea temporară a unor
date şi informaţii pentru a fi procesate ulterior.
ATAC DE REŢEA
XSS este o tehnică de atac, folosită pentru a forţa o pagină web să afişeze un cod
maliţios (scris de obicei în HTML + JavaScript), pe care îl execută ulterior în browser-
ul unui utilizator. Acest tip de atac nu are ca ţintă serverul siteului web, codul malware
fiind executat direct în browser, deoarece adevărata ţintă a atacului este
utilizatorul.
Hackerul va folosi site-ul doar pentru a efectua atacul şi odată ce are control asupra
browser-ului utilizatorului, îl va putea folosi pentru a-i fura diferite date: conturi
bancare, conturi de utilizator, parole, furtul înregistrărilor din istoricul browser-ului etc.
XSS
Sunt mai multe modalităţi prin care un malware scris în JavaScript poate deveni
rezident pe o pagină web:
Dacă atacatorul doreşte să atace prin XSS pagina http://vulnerabil.com/ - spre exemplu
un site de comerţ electronic, mai întâi trebuie să găsească o vulnerabilitate la XSS. În
acest scop caută un parametru de unde utilizatorul poate trimite mesaje la server şi la
care primeşte mesaje înapoi (de obicei un câmp pentru căutare). Dacă introduce “test
pentru xss” în câmpul de căutare, răspunsul va fi un nou url cu un şir de interogare care
conţine “test+pentu+xss” ca şi valoare a parametrului p.
Exemplu:
</span><script>alert('XSS');</script><span>
http://www.altoromutual.com/search.jsp?query=%3C%2Fspan%3E%3Cscript%3Ealert
%28%27XSS%27%29%3B%3C%2Fscript%3E%3Cspan%3E
3. MESAJE DE EROARE PREA
DETALIATE
MESAJE DE EROARE PREA DETALIATE
Nu sunt un tip de atac în sine, însă mesajele de eroare cu scop informativ pot conţine
adresele complete şi numele fişierelor, descrieri ale tabelelor SQL, erori ale bazei de
date sau alte erori legate de aplicaţie şi mediul în care rulează. Un formular tipic de
autentificare îi cere utilizatorului să introducă două informaţii (nume de utilizator şi
parolă), alte aplicaţii cer mai multe informaţii (data naşterii, un cod PIN). Când un
10 / 26
proces de autentificare dă greş, poţi, în mod evident, să îţi dai seama că una din
informaţiile introduse nu au fost corecte, însă uneori aplicaţia te anunţă care din ele a
fost greşită.
MESAJE DE EROARE PREA DETALIATE
Nu sunt un tip de atac în sine, însă mesajele de eroare cu scop informativ pot conţine
adresele complete şi numele fişierelor, descrieri ale tabelelor SQL, erori ale bazei de
date sau alte erori legate de aplicaţie şi mediul în care rulează.
Atacul: Într-un asemenea caz, puteţi folosi o metodă automată de atac, care să parcurgă
o listă mare de nume comune de utilizatori pentru a afla care din ele sunt valide, deşi în
general numele utilizatorilor nu sunt considerate a fi secrete, identificarea lor îi dă
atacatorului şanse mai mari de a compromite aplicaţia folosindu-se de timp, abilitate şi
efort. O listă de nume de utilizatori enumerați poate fi folosită ulterior pentru diverse
metode de atac incluzând: ghicirea parolelor, atacuri asupra datelor utilizatorilor sau
inginerie socială
4. AUTHENTICATION BYPASS
AUTHENTICATION BYPASS
Autentificarea dovedeşte, într-o oarecare măsură, identitatea unei persoane sau entităţi.
De exemplu, toţi folosim parole pentru a ne autentifica în conturile personale de e-mail.
Paginile web folosesc certificate Secure Socket Layer (SSL) pentru a valida faptul că
traficul provine într-adevăr de la domeniul solicitat de către site, acest lucru
neasigurându-ne că site-ul este cel adevărat şi nu o copie.
Atacatorul are două opţiuni pentru a sparge un sistem de autentificare: utilizarea unei
parole furate sau evitarea verificării autentificării. Pentru a identifica şi monitoriza
activitatea unui utilizator pe o pagina web, acestuia i se atribuie un token de sesiune
unic, de obicei sub formă de cookie-uri. Odată autentificat, utilizatorul respectiv este
identificat doar după cookie-ul de sesiune, deci dacă un atacator îl compromite,
ghicindu-i valoarea sau furându-l, reuşeşte să treacă cu succes de mecanismul de
autentificare a paginii respective şi să îi ia locul victimei.
5. AUTHORIZATION BYPASS
AUTHORIZATION BYPASS
Autentificarea este un proces critic al acestui aspect, dar până şi cel mai solid proces de
autentificare poate fi subminat de erori ale funcţiilor pentru verificarea credenţialelor,
incluzând: schimbarea parolelor, funcţia de recuperare a parolelor uitate, funcţia de
amintire a parolelor de către aplicaţia web, update-uri ale conturilor şi alte funcţii legate
de acestea. Pentru a evita astfel de probleme, pentru orice fel de funcţii legate de
managementul conturilor, ar trebui să ceară reautentificarea utilizatorului, chiar dacă
acesta are un id de sesiune valid.
MANAGEMENTUL SESIUNILOR
Toate serverele web, serverele de aplicaţii şi mediile aplicaţiilor web cunoscute sunt
susceptibile la problemele legate de evitarea mecanismelor de autentificare şi de
management al sesiunilor. Acest gen de vulnerabilitate se bazează mult pe eroare umană
şi tehnologii care nu îndeplinesc standardele de securitate necesare.
7. Cross-site Request Forgery
(CSRF)
CSRF
Cross-site Request Forgery (CSRF sau XSRF) este o formă de atac asupra aplicaţiilor
web care se foloseşte de relaţiile de încredere existente între aplicaţiile web şi
utilizatorii autentificaţi prin a forţa acei utilizatori să facă tranzacţii sensibile în numele
atacatorului.
Această vulnerabilitate, deşi mai puţin cunoscută ca XSS, este mult mai periculoasă
decât cross-site scripting, deoarece îşi are rădăcinile în natura lipsită de stare (stateless)
ale specificaţiilor HTTP-ului, care cer ca un token de autentificare să fie trimis cu
fiecare cerere a utilizatorului.
ATACUL
Un exemplu clasic este cel al unei aplicaţii bancare care le permite utilizatorilor să
transfere fonduri dintr-un cont în altul folosind o cerere simplă GET prin HTTP.
Presupunem că aplicaţia foloseşte următoarea modalitate de a transfera fondurile:
http://xsrf.bancavulnerabila.com/transferFonduri.aspx?Incontul=12345&fonduri=1000.
00&valuta=euro
Divulgarea codului sursă este o eroare de codare, foarte des întâlnită, în aplicaţiile web,
care pot fi exploatate de către un atacator pentru a obţine codul sursă şi configurarea
fişierelor prin intermediul HTTP, acest lucru oferindu-i atacatorului o înţelegere mai
profundă a logicii aplicaţiei web.
Multe pagini web oferă utilizatorilor fişiere pentru download folosind pagini dinamice
specializate. Când browser-ul cere pagina dinamică, mai întâi serverul execută fişierul
şi apoi returnează rezultatul în browser, deci paginile dinamice sunt, de fapt, coduri
executate pe serverul web. Dacă această pagină nu este codată suficient de securizat, un
atacator o poate exploata pentru a descărca codul sursă şi chiar fişierele de configurare.
SOURCE CODE DISCLOSURE
Odată ce are codul sursă şi posibil un duplicat al aplicaţiei pe care să poată face teste,
atacatorul se poate pregăti pentru un atac asupra aplicaţiei.
9. ERORI LOGICE
ERORI LOGICE
Toate aplicaţiile web folosesc logica pentru a avea funcţionalitate. A scrie cod întrun
limbaj de programare, nu înseamnă nimic altceva decât descompunerea unui proces
complex în paşi mici şi simpli, pentru a aduce ceea ce este pe înţelesul oamenilor la
nivelul la care poate fi executat de către computer.
Erorile logice oferă o bază foarte mare şi variată de atac, însă de multe ori sunt trecute
cu vederea deoarece rareori pot fi scanate cu programe specializate în identificarea
vulnerabilităţilor, nu au o semnătură specializată ca şi vulnerabilităţile de tip SQL
injection sau cross-site scripting şi sunt mai greu de recunoscut şi caracterizat.
ERORI LOGICE
Erorile logice apar atunci când programatorul sau dezvoltatorul aplicaţiei web nu se
gândeşte la toate efectele pe care le poate avea codul asupra aplicaţiei, luând în
considerare numai un anumit efect (cel pe care el intenţionează să-l implementeze în
primul rând) şi omiţând alte efecte posibile (secundare).
Când vine vorba de aplicaţii care provin de la diferite companii, majoritatea designerilor
şi proprietarilor de aplicaţii web presupun că acestea sunt sigure şi nu le mai testează
înainte de implementare ceea ce poate duce la breşe grave de securitate ale aplicaţiei
web. Multe aplicaţii web provenite din terţe părţi sunt nesigure şi de multe ori acestea
vin cu un nume de utilizator şi parolă implicit.
Aceasta este o breşă gravă de securitate deoarece, dat fiind faptul că o parolă de
administrare ”default” ghicită poate oferi acces la multiple opțiuni de configurare ale
aplicației inclusiv la toate datele stocate în baza de date. Așadar parolele și conturile
implicite trebuie întotdeauna schimbate.
03
DETECTAREA
VULNERABILITĂȚILOR
DETECTAREA VULNERABILITĂȚILOR APLICAȚIILOR WEB
O etapă esențială pentru orice dezvoltator de aplicații web este identificarea acestor
vulnerabilități și tratarea acestora corespunzător. În acest sens, există numeroase
instrumente software automate pentru detectarea vulnerabilităților, care, de cele mai
multe ori, dau și recomandări pentru rezolvarea problemelor identificate.
Scanarea vulnerabilităților este o etapă de bază, ce trebuie realizată înainte de punerea
în producție a oricărei aplicații web.
1. PORT SCANNING &
FOOTPRINTING
PORT SCANNING & FOOTPRINTING
Port Scanning este procesul care trimite cererile clientului către o serie de adrese de
porturi de server de pe o gazdă, cu scopul de a găsi un port activ.
Un pas esențial în testarea vulnerabilităților aplicațiilor web este acela de a afla care
aplicații particulare sunt găzduite pe un server web. Multe aplicații au vulnerabilități
cunoscute și strategii de atac cunoscute care pot fi exploatate pentru a obține control de
la distanță sau pentru a exploata date.
În plus, multe aplicații sunt adesea configurate greșit sau nu sunt actualizate, din cauza
percepției că sunt folosite doar „intern” și, prin urmare, nu există nicio amenințare.
4. IDENTIFICAREA
VULNERABILITĂȚILOR
IDENTIFICAREA VULNERABILITĂȚILOR
Analiză statică – Inspectarea codului unei aplicații pentru a estima modul în care se
comportă în timpul rulării. Aceste instrumente pot scana întregul cod într-o singură
trecere.
Analiză dinamică – Inspectarea codului unei aplicații în stare de rulare. Acesta este un
mod mai practic de scanare, deoarece oferă o vedere în timp real a performanței unei
aplicații.
IDENTIFICAREA VULNERABILITĂȚILOR
Acest raport cuprinzător include relatări despre locul în care am început testarea, cum
am găsit vulnerabilități și cum le-am exploatat. Include, de asemenea, domeniul de
aplicare al testării de securitate, metodologiile de testare, constatările și recomandările
pentru corecții.Acolo unde este cazul, va prezenta și opinia testatorului de penetrare cu
privire la dacă testul dvs. de penetrare respectă sau nu cerințele cadrului aplicabile.
ANALIZA FINALĂ ȘI DOCUMENTAREA