Programul de studii universitare de master [620960]

FACULTATEA DE INFORMAȚII
Programul de studii universitare de master
“Managementul Informațiilor de Securitate Națională ”

SECURITATEA INFORMAȚIILOR ȘI INTERNETUL
CRIMINALITATEA INFORMATICĂ

Pătru Constantin

1 Rezumat

Tehnologia Informației și Comunicațiilor (IT&C) reprezintă un mod eficient pentru
procesarea, stocarea, transmiterea informațiilor în format electronic și un instrument
indispensabil pentru întreaga societatea ceea ce a dus la dezvoltarea și utilizarea pe o scară
largă la nivel mondial .
Beneficiile multiple oferite de utilizarea mediului online î n viața modernă de zi cu zi a
dus la o dezvoltare fulminantă și continuă a acestuia, fiind prezent în toate domeniile de
activitate, ceea ce a impus necesitatea cree rii unui sistem tehnologic (hardware, software) și
legislativ pentru securitatea informații lor, deoarece internetul reprezintă mediul facil pentru
dezvoltarea criminalității informatice, altfel spus criminalitatea informatică este strâns legată
de internet.
Informațiile în format electronic sunt supuse unor amenințări în continuă dezvoltare în
ceea ce privește confidențialitatea, integritatea, disponibilitatea, iar o formă reușită de atac
cibernetic asupra acestei a, poate avea consecințe majore pentru securitatea națională și
globală.
Astăzi internetul nu mai reprezintă o simplă rețea mondială de comunicații , acesta a
devenint și mediu pentru o nouă formă de comerț, comerțul electronic (eCommerce).

2 Introducere
Internetul este o rețea extinsă la nivel global de tip Wide Area Network (WAN)
realizând o conectivitate și un transfer de informații aproape instantaneu prin intermediul
echipamentelor de rețea, la costuri reduse, între companii și persoane din întreaga lume.
Din întreaga popula ție a lumii , acces la internet au peste 4,5 miliarde de utilizatori ,
aproximativ 58% din populația globului , iar la nivelul țării noastre care deține o populație de
aproximativ 22 milioane de locuitori, acces la internet au peste 17 milioane de utilizatori,
aproximativ 77% din populația tării.
Cea mai mare acoperire a internetului este la nivelul Statelor Unite (9 6%), Europei de
Vest (94%) și de Nord (95%), precum și în Europa de Sud -Est (88%) și America de Sud
(73%).
La nivel global evoluția internetului oferă o serie de avantaje în toate domeniile
(militar, sanitar , transporturi, viața soci ală, etc), dar în paralel cu dezvoltarea în Tehnologia
Informației și Comunicațiilor are loc și o intensificare rapidă și complexă în ceea ce privește
activitățile de criminalitatea informatică.
Criminalitate informatică reprezint ă activitățile online, folosind sisteme informatice și
de comunicații în comiterea de infracțiuni în spațiul virtual prin exploatarea unor
vulnerabilități ale acestora, în scopul obținerii unor câstiguri materiale sau intelectuale.
Activitățile de criminal itatea informatică pot îmbrăca forme diverse de atacuri
cibernetice, ce urmăresc compromiterea rețelelor de comunicații prin diverse metode (atacuri
de tip DdoS, SQLi sau Defacement, malware, ransomware), fraudele informatice, constând în
diverse activităț i ilicite comise în mediul online.
Odată cu evoluția digitală s -a constatat beneficiile utilizării acesteia pe scară largă dar
și partea vulnerabilă a internetului, activitățile nelegale fiind într -o creștere alarmantă putând
duce la perturb area furnizării de servicii esențiale, ca de exemplu cele de energie, sănătate,
transporturi, apă și nu în ultimul rând servicii le de comunicații.
Un loc important în strategia de securitate a guvernelor, î n prezent , îl ocupă
criminalitatea informatică deoarece reprezintă o amenințare la securitatea națională a
statelor, fiind un fenomen cu o dezvoltare explozivă la nivel național, cât și internațional .
Astfel, re sponsabilitatea apărării drepturilor fundamentale ale cetățenilor, democrației
și ale statu lui de drept în spațiul cibernetic, reprezintă o sarcină complexă și în continuă
evoluție, necesitând un efort comun și major al instituțiilor cu responsabilități în acest
domeniu, pentru crearea unui mediu virtual sigur.

3 CAPITOLUL I

VARIETATEA CRIMIN ALITĂȚII INFORMATICE

1.1 CONCEPTUL DE CRIMINALITATE INFORMATICĂ

Criminalitatea informatică este o activitate prezentă în zilele noastre care depășește în
intensitate pe cea a fraudelor obișnuite, prima dată termenul de criminalitate informatică a fost
introdus în legislația Statelor Unite ale Americii. Legea se referă la un număr limitat de
infracțiuni, ca de exemplu : accesul neautorizat la computerele protejate și furtul de servicii
utilizând computerul; furtul și alterarea de informații păstrate electronic sau pirateria software ;
extorcarea de bani, accesul neautoriza t în conturile/ rețelele bancare, transmiterea de comenzi
sau viruși distructivi și traficul cu parole furate.
Termenul de ”criminalitate informatică ” conexează multiple tipuri de activități, dar în
principal se referă la infracțiunile comise prin intermed iul sistemelor informatice și de
comunicații.
Definițiile criminalității informatice a u evoluat odată cu dezvoltarea tipurilor de
activități desfășurate în mediul online și au fost construite , în principal , prin experiențele trăite
de către specialiștii în domeniu de -a lungul timpului. O definiție asupra criminalității
informatice care pare mai elocventă este “totalitatea faptelor prevăzute de legea penală sau de
alte legi speciale care prezintă pericol social și sunt săvârșite cu vinovăție, prin intermediu l ori
asupra inf rastructurilor cibernetice”.
Termenul de criminalitate informatică este folosit de către Convenția Europeană
asupra criminalității informatice referindu -se la acțiunile infracționale care încalcă drepturile
de proprietate intelectuală sau aduc prejudicii sistemelor informatice.
În urma studiilor realizate de către diverși autori de specialitate a rezultat o definiție
mult mai extinsă a acestui termen, cuprinzând și alte activități infracționale, cum ar fi :
fraudele informatice, accesul neautorizat într -un sistem informatic, pornografie infantilă,
urmărirea și hărțuirea anumitor persoane prin intermediul mediului virtual (cyberstalking).
Codul de procedură penală definește sistemul informatic ca fiind “orice dispozitiv
sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul
sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic ”.

4 1.2 INFRACȚIUNI INFORMATICE PREVĂZUTE LA NIVEL IN TERNAȚIONAL

Infracțiunile informatice sunt clasificate de către ” Consiliul European pen tru
probleme criminale” în mai multe categorii, categorii care sunt specificate în ”Manualul
Națiunilor Unite pentru prevenirea și controlul infracționalității inform atice”, astfel:
– fraudă informatică,
– fals informatic,
– prejudicierea datelor sau programelor informatice,
– sabotaj informatic,
– acces neautorizat la un calculator,
– interceptare neautorizată,
– reproducere neautorizată a unei tipografii,
– alterare fără drept a datelor sau programelor informatice,
– spionaj informatic,
– utilizare neautorizată a unui calculator,
– utilizare neautorizată a unui program informatic protejat de lege.
1.3 INFRACȚIUNI INFORMATICE PREVĂZUTE LA NIVEL NAȚIONAL

Codul penal din anul 2009, prevede în partea specială activitățile care reprezintă
infracțiuni informatice , astfel :
– la titlul al II -lea, capitolul IV, sunt menționate ”fraudele comise prin sisteme
informatice și mijloace de plată electronice ;
– la titlul VII, capitolul VI – ”infracțiuni contra siguranței și integrității datelor
informatice (accesul ilegal la un sistem informatic, interceptarea ilegala a unei transmisii de
date informatice, alterarea integrității datelor informatice, perturbarea funcționării sistemelor
informatice, transferul neautorizat de date informatice, operațiuni ilegale cu dispozitive sau
programe informatice) ”;
– la titlul VIII, în capitolul I – ”infracțiuni contra ordinii și liniștii publice este
prevăzută infracțiunea de pornografie infantilă ”.
Multitudinea infracțiunilor informatice prevăzute la nivel internațional și național,
scoate în evid ență că spațiul online dezvoltat la nivel mondial a creat o societate
informațională complexă, fără frontiere plină de oportunități și un mediu propice pentru
activitățile de criminalitate informatică, securitatea sistemelor informaționale trebuie astfel s ă
se bazeze pe cooperare internațională în domeniu pentru protejarea utilizatorilor și a
informațiilor existente.

5 CAPITOLUL II
CRIMINALITATEA INFORMATICĂ ȘI INTERNETUL

Internet ul reprezintă o rețea globală, compusă din sisteme de calculatoare
interconectate, care permite utilizatorului, indiferent de locația sa geografică, să acceseze
informația aflată oriunde în rețea.
Servicii le de utilizator oferite de rețeaua internet sunt div erse și numeroase :
1. Serviciul transfer de fișiere sau, mai scurt, serviciul FTP (File Transfer Protocol) –
asigur ă trasferul de fișiere între două sau mai multe calclatoare conectate în rețea ;
2. Serviciul de poștă electronică (e -mail) – permite transferul de mesaje scurte între
utilizatori, acesta fiind transmise aproape instantaneu ;
3. Comer țul electronic – reprezintă cea mai interesantă aplicație a internetului, deoarece
clientul are acces la informațiile necesare, poate face comandă fără intermediari și po ate
obține produsele sau serviciile dorite, mai repede și la prețuri reduse;
4. Telefonia prin internet – este unul dintre cele mai recente servicii, cu posibilitatea de a
oferi acest serviciu prin internet la prețuri convenabile;
5. Serviciul WWW (World Wide We b) este un serviciu care asigură retransmisia
informațiilor în internet, în prezet existând o cantitae enormă de informație ce poate fi
ccesată prin intermediul unu browser web.
Serviciile de World Wide Web -ul sunt preferat e pentru activitățile ilicite prin
intermediul site-urilor web, infractorii adună bani sau informa ții de identificare, după care
“șterg” site -ul.
Tipuri de atac uri la adresa unei rețele
Conexiunea la internet reprezintă o facilitate pentru rețelele de comunicare, dar
totodată creează mari problemele de securitate și, implicit, posibilitatea producerii asupra
acestora a unor atacuri diverse.
În curpinsul cursului ”Introducere în securita tea rețelelor” al lector ului dr. M .
APETRII în cadrul CeFAIR ne sunt prezentate clasificările atacurilor după mai multe criterii,
astfel:
– în funcție de locul de unde se execută pot fi: locale (local) sau de la distanță
(remote) ;
– interacțiunea atacatorului cu informația obținută în urma unui atac reușit, putând
avea atacuri pasive și active .

6 Atacurile pasive sunt acelea în cadrul cărora intrusul observă informația ce trece prin
"canal", fară să interfereze cu fluxul sau conținutul mesajelor, făcându -se doar analiza
traficului. Atacurile pasive pot fi de două fel uri: de citire și înregistrare a conținutului
mesajelor și de analiză a traficului , având caracteristici comune, ca de exemplu: nu cauzează
pagu be; încalcă regulile de confidențialitate prin furtul de informații din rețea; sunt avantajate
de rutarea pache telor prin noduri de rețea mai puțin protejate, cu risc crescut; sunt greu sau
chiar imposibil de detectat.
Aceste atacuri pot fi realizate prin diferite metode: supravegherea legaturilor telefonice
sau radio, exploatarea radiațiilor electromagnetice emi se, rutarea datelor prin noduri
aditionale mai putin protejate . Sunt dezvoltate permanent sisteme de prevenție și detecție a
intrușilor în rețea, fie ca soluții software, fie cu echipamente dedicate în vedere contracarării
acestor atacuri (de exemplu: prin măsurători de câmp radiat pentru stabilirea ariei de acoperire
a unei rețele wireless). Din punct de vedere al acestor atacuri, rețelele optice sunt cel mai bine
protejate, fiind practic imposibilă interceptarea traficului fără a se sesiza prezența intru sului.
Riscurile cele mai mari de atac pasiv, de intercepție a informațiilor din rețea apar în rețelele
de tip wireless, iar r ețelele cablate, cu cabluri cu conductoare metalice, sunt vulnerabile în
nodurile de comunicație de tip hub sau switch. Riscul ma jor pentru o rețea o reprezintă
atacurile pasive nedetectate care au ca finalitate preluarea cheilor de c riptare, întrucât prin
necunoa șterea cheilor compromise se creeaz ă breșe în sistemul de securizar e a informațiilor
prin criptarea traficului.
Atacuril e active sunt acele atacuri în care intrusul fie fură mesajelor, fie le modific ă,
reia sau inser ează mesaje false, fie supraîncarcă rețeaua cu pachete , ceea ce înseamnă ca el
poate insera mesaje false sau vechi, șterge, întârzia sau modifi ca mesaje, le poate schimba
ordinea, fie pe o anumită direcție, fie pe ambele direcții ale unui canal logic.
Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul, a datelor
sau a sistemelor de comunicații.
Atacurile active pot fi clasificate, astfe l:
 Mascarada – este un atac în care o entitate din rețea (client, server, utilizator,
serviciu) pretinde a fi o alt ă entitate , și este însoțită, de regulă, de o altă amenințare activă,
cum ar fi înlocuirea sau modificarea mesajelor.
 Reluarea – se produce atunci cănd un mesaj sau o p arte a acestuia este repetată , în
intenția de a produce un efect neautorizat , respectiv autentificarea atacatorului folosind
informații de identificare valide, transmise de un utilizator autorizat al rețel ei. Sistemul de
gestionare a resurselor și de monitorizare a accesului poate depista intenția de acces fraudulos

7 de pe un anumit nod din rețea și, pe baza politicii de securitate, poate să îl treacă în carantină,
pe o perioadă de timp limitată în care se v erifică existența atacului, și ulterior să îi interzică
total accesul în rețea pe baza adresei fizice, a celei de rețea sau de pe un anumit cont de
utilizator de pe care s -a produs atacul.
 Modificarea mesajelor presupune alterarea datelor mesajelor prin modificare,
adăugare sau ștergere. Poate fi folosită pentru a se schimba beneficiarul unui credit în
transferul electronic de fonduri sau pentru a modifica valoarea acelui credit , modificarea
câmpului destinatar/expeditor al poștei electronice. Acest tip de atac este foarte des întâlnit în
rețelele wireless bazate pe WEP, și este denumit și atac subtil, fiind extrem de dificil de
depistat. Falsificarea datelor și a mesajelor este posibilă și prin atacul de tip “omul -din-
mijloc” când atacatorul se află în tr-un nod intermediar dintr -un link de comunicare și poate
intercepta mesajele transmise de sursă substituindu -le cu mesaje proprii, cu informații false.
 Refuzul serviciului – se produce când o entitate nu izbutește să îndeplineasca propria
funcție sau când face acțiuni care împiedică o alta entitate de la îndeplinirea propriei funcții.
Modul de lucru este următorul: supraîncărcarea serverelor cu cereri din partea atacatorului și
consumarea resurselor, astfel încât acele servicii să nu poată fi oferite ș i altor utilizatori ,
conexiunile existente se închid, fiind necesară reautentificarea utilizatorilor, atacatorul
profitând de acest moment pentru a intercepta datele de identificare, informații despre rețea și
conturi de utilizare autorizată.
 Repudierea serviciului – se produce când o entitate refuză să recunoască un serviciu
deja executat.
 Programele cu scopuri distructive (virus, worm, spy, spam) care afectează securitatea
echipamentelor și a informațiilor din rețea, fie prin preluarea unor informații confidențiale, fie
prin distrugerea parțială sau totală a datelor, a sistemului de operare și a altor programe
software, și chiar prin distrugeri de natură hardware. Răspândirea acestor programe în rețea se
face prin sisteme de postă electronică, de shar ing de fișiere, de mesagerie în timp real etc. sau
prin intermediul mediilor de stocare externe (CD, DVD, removable disk) atunci când
mecanismele de transfer de fișiere nu sunt verificate cu programe specializate de detectare a
virușilor și a viermilor de rețea.
 Rularea unor programe de protecție a sistemelor, de tip antivirus sau antispy, incorect
configurate și neactualizate (up -date) cu semnăturile celor mai noi viruși sau ale alto r
elemente de atacare a rețelei devine foarte des ineficientă.

8 Cele mai importante și des întâlnite programe d istructive sunt:
 Virușii – reprezintă programe inserate în aplicații, care se multiplică singure în alte
programe din spatiul reziden t de memorie sau de pe discuri. Pătrunderea unui virus într -o
rețea de comunicații se face direct din Internet, prin serviciile de download, atunci când se
fac up -date-uri pentru driverele componentelor sau pentru diferite programe software, inclusiv
pentru sistemul de operare, și o face vulnerabilă la toate formele de atac, tentativă de fraudă
sau de distrugere. De multe ori sursele de viruși de rețea sunt mascate de serviciile gratuite
oferite de diferite servere din Internet, de aceea este recomandată folosirea up -date-urilor
oferite numai de entități consacrate, autentice de softwar e, cu semnături recunoscute ca fiind
valide de către sistemele de operare.
 Bomba software – este o metodă sau parte a unui cod introdusă intr-o aplicație
normală , care este activată de un eveniment predefinit (lansarea în execuție a unui program,
deschi derea unui document sau fișier atașat transmis prin poștă electronică, o anumită dată
calendaristică, accesarea unui anumit site web etc.).
 Viermii de rețea – au efecte asemănătoare c u cele ale bombelor și virușilor , iar
diferențele p rincipalele diferențe față de acestea sunt acelea că își schimbă permanent locația
și că nu se multiplică singuri.
 Calul Troian – este un program/ o aplicație care are o funcție de utilizare foarte
cunoscută și care, într -un mod ascuns, îndeplinește și o altă funcție , fiind foarte dificil de
observat deoarece nu creează copii.
Planurile pe care se pot manifesta atacurile, î n funcție de vulnerabilitățile rețe lei, sunt
următoarele:
 tentativa de perturbare sau de întrerupere a funcționării rețelei la nivel fizic (prin
factori mecanici, de întrerupere a unor cabluri sau scoatere din funcțiune a unor echipamente
din rețea;
 accesare a neautorizată a rețelei sau a unor resurse ale acesteia din interiorul entității
sau din afara acesteia;
 tentativa de întrerupere sau de încărcare excesivă a traficului din rețea p rin
transmiterea unui număr foarte mare de pachete către unul sau mai mul te noduri din rețea.
Diversitatea tipurilor de atacuri ce pot fi trimise către o rețea determină specialistii în
securitate să dezvolte și să identifice noi tehnici de apărare ciberne tică, în condițiile în care se
utilizează tot mai mult atacuri din ce în ce mai complexe și sofisticate ceea ce duce la o
continuă dezvoltare a metodelor de securizare a informațiilor.

9 CAPITOLUL III
SECURITATEA DATELOR ÎN COMERȚUL ELECTRONIC
(e-commerce)
3.1 INTRODUCERE
E-commerce reprezintă în general încheierea de tranzacții prin intermediul
internetului .
Computer Desktop Encyclopedia consideră că e -commerce presupune „a face afaceri
on-line. Acest proces include cumpărarea produselor, prin servicii on -line și internet, precum
și schimbul de date electronice, prin care calculatorul instituției se informează și face
tranzacții cu calculatorul unei alte companii ”1.
O altă definiție, mai largă, descrie eComerțul ca fiind ”constituit din toate p lățile în
care datele tranzacției (plătitor, destinatar, sumă, etc) sunt transmise electronic, plătitorul și
plătitul sunt implicați direct în tranzacție, iar toate informațiile necesare autorizării plății sunt
schimbate între cele două părți, electronic ” 2.
Comerțului electronic asigu ră o viteză ridic ată de derulare a tranzacțiilor, permite
accesul la noi segmente de piață, d etermină reducerea costurilor de aprovizionar e, de
distribuție, de promovare, implică simplificarea procedurilor de tranzacționare, contribuie la
creșterea competitivității la niv el de firmă și implicit de țară și, nu în ultimul rând, determină
creșterea valorii tranzacțiilor prin stimularea cumpărătorilor.
Aceste caracteristici oferă comerțului electronic, în comparație cu cel clasi c, o mai mare
elasticitate și un potențial imens de creștere în viitor. Evoluția tehnologiei determină
exponențial dezvoltarea comerțului electronic, lucru ce poate fi extrem de ușor sesizat, doar
realizându -se o comparație în cifre absolute asupra val orii sau volumului comerțului
electronic cu un deceniu în urmă și secolul 21 , caracterizat, printre altele , și de o “explozie” a
tranzacțiilor în variantă electronică, având un impact pozitiv asupra societății.
3.2 AVANTAJELE COMERȚULUI ELECTRONIC
Avantaj e pentru comercianți:
 accesul la noi segmente de piață – o firmă îsi poate extinde aria de piață în afara
granițelor țării fără a face mai eforturi. Atragerea unui client din altă țară se face la fel
de ușor cu atragerea unui client din orașul unde firma î și desfășoară activitatea;

1 www.computerlanguage.com
2 ”Plăți electronice – o introducere”, autor Dan Vasilache, Editura Rosetti Eucațional 2004, București, Cap.6

10  creșterea vitezei de derulare a afacerilor – comerciantii nu trebuie să aloce un spațiu
fizic pentru fiecare client sau potențial client și nici forțe de vânzare;
 contact cu clienții non -stop – permite obținerea de informații de spre firmă și produse la
orice oră din zi și din noapte și, de asemenea, comenzile sunt procesate oricând,
nefiind îngrădite de un anumit program de funcționare;
 reducerea costurilor de aprovizionare, de desfacere, de publicitate;
 posibilitatea firmelor mi ci de a concura cu cele mari – site-ul web poate arăta la fel si
poate vinde aceleași produse atât pentru o firmă mare, cât și pentru una mică;
 costuri mai scăzute de tranzacționare;
 reducerea erorilor în manipulare;
 reducerea costurilor de funcționare.
Avantaje pentru cumpărători
 disponibilitatea 24 de ore din 24 – pentru ca este o pagină web, cu costă nimic în plus
pe coerciant sa -l țină deschis non -stop, astfel, consumatorul poate face achiziții
oricând are timp pentru asta, sau oricând are nevoie de acele produse, ziua sau
noaptea.
 comoditatea – comanda se face de acasa fără a mai fi necesară deplasarea din magazin
în magazin și este mult mai ușor de a găsi magazinul care vinde produsul cautat la cel
mai mic pret.

3.3 DEZAVANTAJELE COMERȚULUI ELECTRO NIC

Dezavantaje pentru comercianți:
 frauda – prin fraudă pe Internet se înțelege (conform departamentului de justiție din
Statele Unite) orice modalitate de furt, care utilizează una sau mai multe elemente ale
Internetului (site -uri web, liste de discuții , canale de chat, e -mail) pentru identificarea
potențialelor victime, pentru finalizarea unor tranzacții frauduloase sau pentru a
transmite profiturile obținute prin frauda catre instituții financiare sau alte persoane
implicate;
 securitatea datelor – în condițiile în care volumul datelor și informațiilor gestionate
electronic este din ce în ce mai mare, securitatea acestora reprezintă o preocupare atât
pentru instituțiile publice, cât și pentru companiile private. Asigurarea unor servicii și
produse pentru protejarea sistemelor informatice a devenit o prioritate la nivel global;
 mentalitatea consumatorilor – întotdeauna un serviciu nou este privit cu suspiciune .

11 Dezavantaje pentru cumpărători
 securitatea – unor persoane le este teamă să furnizeze on -line informații legate de
cartea de credit;
 lipsa contactului uman – respectiv i mposibilitatea de solicita ajutorul unei persoane în
cazul un ei nelămuriri;
 accesul la tehnologie.
Ca și exemplu, vă prezint, în principiu și succint, etapele desfășurării unei tranzacții
pe internet:
1. Cumpărătorul accesează site -ul comerciant ului prin intermediul unui brow ser (ex.: Ch rome,
Explorer etc.),
2. Ajuns pe pagina magazinului virtual, cercetează produsele prezentate și selectează unul sau
mai multe produse pe care le va adăuga în coșul virtual de cumpărături , care are r olul de a
aduna cumpărăturile și de a face totalul de plată, astfel încât în momentul plății să se
autorizeze o singură plată totală și nu câte una pentru fiecare produs,
3. Programul specializat al s ite-ului îl va invita pe cumpărător să -și introducă într -un
formular pe care i -l afișează, datele de identitate și datele de plată , după care cumpărătorul
va apăsa un buton special al formularului (de exemplu : “Cumpără”) a cărui apăsare
echivalează cu generarea comenzii ferme de cumpărare și, în același timp, cu acceptarea
totalului de plată, și a regulilor și condițiilor de plată și de livrare a produselor pe care
comerciantul le -a afișat pe sit e, iar cumpărăt orul este obligat să le cunoască,
4. Programul specializat al site -ului va adăuga automat la datele cumpărătorului o altă serie de
date care descriu plata și identitatea comerciantului , formând un mesaj transmis sistemul de
management de carduri – SMC,
5. SMC -ul acceptatorului se află acum în starea în care a primit un mesaj cu o cerere de
autorizare de la unul din terminalele sale de plată POS instalat la unul din comercianții săi ,
autorizarea tranzacției se desfășoară ca în cazul unei tranzacții ce are l oc la un POS dintr -un
magazin real,
6. Raportul afișat va fi tipărit de cumpărător și este echivalent cu o chitanță de plată. În
momentul livrării produselor cumpărătorul va accepta livrarea prin semn area unui document
de recepție care va ajunge înapoi la comerciant și va putea servi în eventualele rezolvări de
dispute. Acceptatorul va putea credita imediat după autorizare contul comerciantului său,
după care introduce tranzacția în fișierul său de tranzacții pe care îl va trimite la emitent în
vederea deco ntării interbancare. Din momentul în care cumpărătorul a apăsat pe butonul
“Cumpără” din formularul afișat, trimițându -și datele de card și ordinul de cumpărare, și până

12 în momentul în care programul special din sit e-ul comerciantului îi afișează raportul de
răspuns cu confirmarea efectuării cumpărăturii, timpul scurs este, de regulă, de circa 5 -10
secunde. Acest timp de răspuns se compune, în mare, din partea de circa 2 -4 secunde
petrecută de tranzacție în sistemul de carduri și din partea de 3 -5 secunde p etrecută în Internet
(serverul sitului comerciantului, telecomunicații cu protocol sigur SSL sau TLS). În cazul
utilizării unor protocoale de autentificare a deținătorului de card, cum ar fi protocolul 3 -D
Secure, se mai adaugă un interval de până la 10 -15 secunde necesare autentificării
cumpărătorului, cardului și comerciantului. Tranzacția de plată descrisă este o tranzacție cu
card de tipul “cardul -nu-este prezent”, adică nici cumpărătorul și nici cardul nu se află în fața
comerciantului atunci când se f ace plata, ceea ce conduce la un risc asumat de comerciant (și
de acceptator) mai mare decât în cazul unei plăți de tip “cardul -este-prezent” care are loc într –
un magazin real.
Prin acest exemplu am vrut să scot în evidență faptul că măsurile de se curitate luate
în cazul eComerțului prin Internet sunt mai puternice și mai cuprinzătoare. Legăturile de
telecomunicații dintre calculatorul personal al cumpărătorului și serverul care găzduiește sit e-
ul comerciantului, precum și cele dintre acest server ș i SMC -ul acceptatorului comerciantului,
trebuie să fie legături sigure care să asigure confidențialitatea datelor comunicate și să
garanteze autenticitatea celor două părți de la capetele transmisiei. Aceste telecomunicații se
implementează printr -un proto col special numit SSL (Secure Socket Layer protocol) sau prin
succesorul acestuia, numit TLS (Transport Layer Security protocol), ambele asigurând
criptarea (simetrică) a mesajelor și autentificarea ambelor părți. Legătura între serverul de
găzduire și SMC -ul acceptatorului se poate face și direct, printr -o linie închiriată care nu e
publică (cum ar fi în cazul Internetului), mai ales în cazul în care acceptatorul are mai multe
situri de comerciant (un portal) pe un același server, securitatea și viteza tra nsmisiunilor
trebuind să fie astfel mult sporită. Autentificarea părților implicate într -o tranzacție de comerț
electronic este probabil cea mai importantă măsură de asigurare a securității tranzacțiilor. În
prezent există trei astfel de protocoale de aute ntificare utilizate în eComerț: protocolul SET
(Secure Electronic Transactions), protocolul 3 -D Secure (Three -Domains Secure) și
protocolul SecureCode (ultimele două fiind asemănătoare și aparținând, respectiv, lui Visa și
lui MasterCard).
3.4 RISCURILE, FRAUDELE ȘI DISPUTELE ÎN COMERȚUL ELECTRONIC
În comerțul electronic riscul de fraudă e datorat, în principu, caracterului public al
rețelei de telecomunicații a internetului și faptului că nici deținătorul de card, și nici cardul, nu
sunt prezenți în fața comerciantului în momentul efectuării tranzacției de cumpărare. Conform

13 legislației naționale din multe țări , răspunderea pentru o tranzacție frauduloasă revine
comerciantulu i sau emitentului cardului, fapt ce încurajează puternic deținător de card în al
utiliza, știind că nu va p ierde bani în cazul unei fraude cucondiția re spectă rii propriilor
obligații.
3.4 PERICOLE DE FRAUDĂ CARE AR PUTEA APARE ÎN ACEST TIP DE
COMERȚ
Folosirea frauduloasă a unui card de către altă persoană decât deținătorul acestuia,
care să efectueze cumpărături în numele deținătorului, iar cel din urmă să refuze tranzacția și
să o conteste. În acest caz, c umpărătorul va depune o plângere la emitentul car dului său, iar
acesta va începe o procedură de rezolvare a disputei, conform regulilor sistemului de carduri
și împreună cu comerciantul, în scopul returnării banilor, total sau parțial (chargeback,
returnare plată). Motivele cele mai frecvente invocate de cumpărător sunt “nu am făcut
tranzacția”, “nu doresc ceea ce am primit” și “nu am primit ceea ce am cumpărat”. Rezolvarea
acestor dispute implică costuri suplimentare relativ mari pentru emitent și pentru comerciant ,
și, în mod frecvent, pierderile mai ma ri sunt suferite de comerciant.
În acest context, atacurile la securitate se manifestă cu preponderență prin urmatoarele
căi3:
 Ascultarea comunicațiilor – un astfel de tip de atac poate duce la furtul unor informații
importante deținute de clienți cum ar f i numărul cartelei de credit, numărul contului
bancar sau alte date importante care pot aduce prejudicii respectivilor clienți;
 Parole furate – furturile de acest tip pot muta ținta atacurilor de la încercările de a
sparge protocolul la încercările de a oține a acestor informații în clar;
 Date modificate – această manifestare poate duce la modificarea conținutului unor
tranzacții;
 Inregistrarea – prin acest tip de atac se poate modifica identitatea unei persoane,
permițându -i să se dea drept altă persoană .
 Repudierea – prin acest tip de atac este posibil refuzul de recunoaștere a unor tranzacții
facute prin rețea.

3 V. Patriciu, M Ene -Pietrosanu – „Securitatea comerțului electronic”, Ed. All, București 2001

14 3.5 Securitatea comerțului electronic
Măsurile speciale de securitate în cazul comerțului electronic prin Internet, în care
plățile se fac cu carduri, sunt concentrate, în principal, în două direcții – asigurarea securității
telecomunicațiilor și asigurarea securității tranzacțiilor prin procedee mai puternice de
autentificare, în principal a deținătorului de card.
Prima direcție încearcă să re zolve problema riscurilor generate de caracterul public al
transmisiu nilor prin rețeaua Internetului iar a doua pe aceea a riscurilor generate de o situație
în care “cardul -nu-este-prezent” (similară cu cazul comenzilor date prin telefon sau poștă).
3.6 Politici de Securitate
O politică de securitate cuprinde unul sau mai multe documente ce conțin specificații
clare ale unor principii și obiective ce definesc scheletul de securitate al unei organizații.
Fiecare organizație are o politică de securitate car e poate fi nulă sau poate să cuprindă un set
extins de reguli. Toți utilizatorii sistemului ar trebui înștiințați atât de politica de securitate,
cât și de modificările aduse acesteia în vederea actualizării.
3.7 Securitatea datelor și măsuri de contracar are
Internetul a fost conceput ca un mediu deschis, dar nu neapărat și sigur, protocolului
TCP/IP lipsindu -i servicii de securitate de bază.
Un lucru este sigur, cel puțin până la această oră, nu se poate vorbi de soluții de
securitate perfecte, sistemele de securitate sunt rezultatul muncii unor oameni și există oameni
care pot ocoli aceste sisteme. Pentru a asigura o reușită a afacerilor, în cadrul unei organizații
este necesar să se permită accesul permanent din partea angajaților, clienților și partenerilor
de afaceri la resursele electronice, fie că accesul se realizează prin intermediul Internetului
(metoda cea mai des folosită) sau nu. Ac este accesări creează automat și riscuri, iar succesul
unei afaceri este determinat de asigurarea unei balanțe între riscul existent și asumat, și
profitul organizației.
Soluțiile de securitate se pot clasific a la nivel de rețea, la nivel de sesiune, la nivel de
aplicație, la nivel de transport.
3.8 Protocoale de securitate
A. Protocolul S -HTTP
Protocolul S -HTTP (Secure Hypertext Transfer Protocol) este o extensie a
protocolului HTTP. S -HTTP lucrează la nivel de aplicație și criptează mesajele dintre un
client și un server. Protocolul permite clientului și serverului să negocieze tipul de criptare ce

15 va fi folosit în comunicația direct ei și puterea criptografică a algoritmului. Secure HTTP este
un protocol orientat pe mesaje, asigurând securitatea mesaj elor transmise folosind HTTP.
Protocolul este proiectat pentru a furniza confidențialitate, integritate și non -repidiere.
B. Protocolul SSL
Protocolul SSL (Secure Socket Layer) a fost elaborat de Netscape Communication
Corporation pentru a furniza securit atea pe Internet. Este în protocol independent de platforme
și de aplicații ce asigură securitatea transmiterii datelor între calculatoare și între aplicații
aflate la distanță. SSL permite aplicațiilor de tip client/server posiblitatea să comunice
folosi nd o metodă ce nu permite ascultarea, interceptarea sau falsificarea informației
schimbate între cele două părți, și este la ora actuală cel mai folosit protocol pentru realizarea
conexiunilor sigure în Internet .
Diferențele între cele două protocoale sunt:
 SSL operează la nivel de transport pe când S -HTTP funcționează la nivel de aplicație;
 S-HTTP permite autentificarea utilizatorului care accede acel portal prin certificat de
autentificare, în timp ce SSL realizează autentificarea doar prin nume de ut ilizator și
parolă.
 Protocolul SSL, folosește criptografia cu cheie publică pentru autentificare.
C. Protocolul IPSec
IPSec este un protocol al Internet Engineering Tasf Force (IEFT) care oferă
autentificarea datelor, integritate și confidențialitate, în timp ce datele sunt transferate între
două sau mai multe puncte de comunicație într -o rețea bazată pe IP.
D. Rețele Private Virtuale (VPN )
O rețea privată virtuală utilizează o infrastructură publică, accesibilă mai multor
utilizatori, cum e ste cea a Internetului, pentru a permite transmisia datelor într -o
conexiune securizată. Cu alte cuvinte, o rețea privată virtuală este o extensie a unui intranet
peste o rețea publică, cum este Internetul. VPN dă posib ilitatea participanților să comunice
printr -un așa numit „tunel” prin Internet cu o altă rețea publică, „tunelul” asigurând
securitatea unei rețele private. Pentru a nu putea fi interceptate de numărul
mare de utilizatori ai acestei rețele, pachetele de date sunt codificate și, simultan, poartă o
semnatură digitală pentru a ne asigura ca au fost transmise integral. Principalele componente
ale unei rețele VPN software -ul client , serverul de tunel , rețeaua și metodele de autentificare.
Prin software -ul de client și serverul de tunel, se stabilește o cale privată, criptată, de
comunicație printr -o rețea extinsă, de tip public.

16 De securitatea rețelei se ocupă un firewall, care va verifica cele trei c omponente
fundamentale ale securității datelor: integritatea, secretul și autenticitatea.
Avantajele utilizării VPN
1. Reducerea costurilor – operarea unei rețele private este mai ieftină decât crearea unei
rețele private proprii. Pentru realizarea unei VPN este suficientă conectarea la Internet prin
intermediul unui furnizor local, accesul la date făcându -se, după autentificare, prin
intermediul unui « tunel » criptat realizat în rețeaua publică.
2. Securitatea – VPN asigură un nivel ridicat de securitate a i nformațiilor prin utilizarea
unor protocoale avansate de autentificare și criptare.
3. Ușor de implementat – VPN poate fi realizată peste conexiunea la Internet.
E. Securitatea prin Firewalls
Constituie un paravan de protecție ce poate ține la distanță trafi cul, hackerii, viermii și
anumite tipuri de viruși, înainte ca aceștia să aducă daune sistemului. Utilizarea unui paravan
de protecție este importantă atunci când calculatorul este conectat în permanență la Internet4.
Un firewall este un sistem care impune o politică de control a acesului între două
rețele și este parte componentă a unei politici de securitate generale. Există soluții
profesionale de firewall hardware sau software ce protejează întregul trafic ce se desfășoară
între rețeaua unei organ izații și Internet și soluții de firewall personale ce verifică traficul
dintre calculatorul personal și Internet ( firewall software, firewall hardware, "personal"
firewall, enterprise firewall) .
Proprietățile unui firewall poziționat la intersecția a două rețele sunt:
 traficul în ambele sensuri trebuie sa treaca prin acesta;
 este permisa trecerea numai a traficului autorizat prin politica locală de securitate;
 sistemul însusi este imun la încercarile de penetrare a securității acestuia5.
Avantajele pe car e le ofe ră folosirea unui firewall sunt :
 limitarea atacurilor externe;
 posibilitatea de a acorda acces în rețea numai userilor autorizați folosind un mecanism de
verificare riguroasă a cererilor de autentificare în vederea logării de la distanță;
 autentificare centralizată – impunerea unor protocoale avansate de autentificare pentru
acesul din și în rețeaua internă ;
 avertizarea administratorului atunci când cineva neautorizat încearcă autentificarea;

4 http://ro.wikipedia.org
5 Patriciu V. Ene -Pietroșeanu – Securitatea comerțului electronic, Ed. All, București, 2001

17  monitorizarea rețelei – contorizarea traficu lui, înregistrarea în fișierele de jurnalizare (log –
uri) a evenimentelor referitoare la traficul prin rețea.
În concluzie, folosirea unui firewall poate contribui la creșterea nivelului de securitate
dintr -o rețea, furnizează mijloace de control al accesu lui într -o rețea privată, asigură mijloace
pentru implementarea unei politici de securitate, se poate constitui într -o soluție mai puțin
costisitoare , în sensul ca programul care trebuie modificat si software -ul adițional de
securitate pot fi localizate în sistemul firewall, posibilitatea monitorizării traficului și
furnizarea de statistici cu privire la monitorizarea rețelei.
Implementarea unui firewall are și unele dezavantaje :
1. restricționarea accesului la unele servicii considerate vulnerabile;
2. protecția scăzută față de atacurile provenite din interior.
F. Securitatea prin utilizarea unei semnături electronice
Securitatea cyberspace -ului reprezintă o prioritate majoră a specialiștilor, cât și pentru
utilizatori. Criptografia este știința scrierilor secrete. Un cifru se definește ca transformarea
unui mesaj -clar sau text clar în mesaj -cifrat ori criptogramă. Pro cesul de transformare a
textului clar în text cifrat se numește cifrare sau criptare, iar transformarea
inversă, a criptogramei în text clar, are denumirea de descifrare sau decriptare.
Atât cifrarea, cât și descifrarea, sunt controlate de către una sau mai multe chei
criptografice.
Semnătura electronică reprezintă un set de informații în format electronic, generate și
stocate pe un dispozitiv securizat care îl identifică pe expeditor și nicidecum nu este o
semnătura olograf scanată, o poză sau o hologr amă.
Semnătura electronică îndeplinește cumulativ următoarele condiții:
1. este legată în mod unic de semnatar;
2. asigură identificarea semnatarului;
3. este creata prin mijloace exclusiv controlate de semnatar.
Tehnic, semnătura electronică este o succesiune de date în format binar care sunt
asociate unui document și asigură autentificarea (indică persoana de la care vine), integritatea
(nealterarea) și non -repudierea (imposibilitatea negării documentului).
Semnătura electronică (digitală) se realizează prin criptarea cu chei publice. În această
abordare se folosesc două chei, una numită privată, folosită pentru criptare, și una numită
publică, folosită pentru decriptare.

18 Conceptul semnăturii digitale are la bază crearea așa numitei infrastructure de chei
publice, numită PKI (Public Key Infrastructures).
Compon entele PKI sunt :
Autoritatea Certificatoare: respons abilă cu generarea și revocarea certificatelor
Autorității Registratoare (R.A.): responsabilă cu verificarea construcției generate de cheile
public e și identitatea deținătorilor. Deținătorii de Certificate (subiecții): oameni, mașini sau
agenți software care dețin certificate și le pot utiliza la semnarea documentelor.
Clienții: ei validează semnatura digitală și certificarea de la un C.A. Depozite le: stochează și
fac accesibile certificatele și Listele de Revocare a Certificatelor (CRLs – Certificate
Revocation Lists).
Autoritatea de Certificare este o structură legală de eliberare a unui act, de tipul cărții de
identitate6.
Orice persoană fizică sau juridică se poate adresa Autorității de Certificare pentru a
intra în posesia unui certificat digital ce va conține o cheie publică, valabil o anumită perioadă
de timp. Acest certificat este folosit pentru a se putea asocia în mod sigur, o cheie publi că cu
niște atribute de utilizator. Cu alte cuvinte, prin folosirea cheii publice alții vor putea verifica
identitatea semnatarului. Autoritatea de Certificare va elibera și cheia privată cu care se vor
semna documentele.
Cheia privată se va elibera pe un asmart -card, ce va fi folosită după introducerea unui
cod PIN sau mai poate rezida pe un server accesibil în manieră protejată doar de către
posesor.
Certificatele sunt clasificate ca: certificate self -signed și certificate CA -signed. Primul
este semnat de deținătorul cheii, iar al doilea de o alta persoană cu autoritate. Ele funcționează
ca și containere de chei publice, iar informația tipică include: numele deținătorului , e-mail-ul
acestuia, numele companiei, telefonul, informaț ii legate de certificat, un număr serial, un
indicator de nivel de încredere, data generării, data expirării.
În concluzie, una din metodele de bază de asigurare a securității informaționale este
metoda criptografică, deoarece criptografia acoperă un set de protocoale, algoritmi d e
criptare, infrastructuri de manipulare a cheilor criptografice.

6 I.D. Condor – Semnatura electronică, Cluj Napoca, www.ionelcondor.wordpress.com

19 BIBLIOGRAFIE

1. V. Patriciu, M Ene -Pietrosanu – „Securitatea comerțului electronic”, Ed. All,
București , 2001
2. D. Vasilache – ”Plăți electronice – o introducere”, Ed. Rosetti Eucațional ,
București , 2004
3. V.Patriciu , Ene-Pietroșeanu – „Securitatea comerțului electronic ”, Ed. All,
București, 2001
4. M. Apetrii – „Curs introducere in securitatea re țelelor ”, Centru l de formare și analiză
în securitatea ri scului (ceFAIR)
5. I.D. Condor – „Semn ătura electronică ”, Cluj Napoca, 2004
6. T. Rădulescu – „Rețele de telecomunicații ”, Ed. Thalia, 2002
7. www.danvasilache.info
8. www.ionelcondor.wordpress.com