Rosmeteniuc Mircea – Constantin [626811]

Universitatea Politehnica din București
Facultatea de Automatică ș i Calculatoare

Protecția î mpotriva atacurilor inform atice
pentru navigarea pe Internet în spitale

Profesor coordonator:
Prof. Daniel Merezeanu Student: [anonimizat]: SIM

București
2018

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

1

Cuprins

Motivația alegerii temei ………………………….. ………………………….. ………………………….. …………………… 2
CAPITOUL
Atacurile software ………………………….. ………………………….. ………………………….. ………………………….. . 4
1.1 Clasificarea virușilor ………………………….. ………………………….. ………………………….. ………………… 4
1.2 Modul de infectare ………………………….. ………………………….. ………………………….. …………………… 6
1.3 Virusul Ransomware ………………………….. ………………………….. ………………………….. ………………… 6
1.3.1 Tipuri de paraziți Ransomware ………………………….. ………………………….. ……………………….. 7
CAPITOLUL 2 ………………………….. ………………………….. ………………………….. ………………………….. …… 9
Programele antivirus ………………………….. ………………………….. ………………………….. ……………………….. 9
CAPITOLUL 3 ………………………….. ………………………….. ………………………….. ………………………….. …. 18
Securitatea online ………………………….. ………………………….. ………………………….. ………………………….. 18
3.1. Niveluri de atacuri ………………………….. ………………………….. ………………………….. …………………. 18
3.2 Tipuri de atacuri ………………………….. ………………………….. ………………………….. …………………….. 19
3.2.1 Keylogger ………………………….. ………………………….. ………………………….. ……………………….. 19
3.2.2 Phishing ………………………….. ………………………….. ………………………….. ………………………….. 19
3.2.3 SQL Injection ………………………….. ………………………….. ………………………….. ………………….. 20
3.2.4 Tracking cookies ………………………….. ………………………….. ………………………….. ……………… 21
3.3 Metode de securitate ………………………….. ………………………….. ………………………….. ……………….. 22
3.3.1 Criptarea datelor ………………………….. ………………………….. ………………………….. ………………. 22
3.3.2 Anti -phishing ………………………….. ………………………….. ………………………….. …………………… 23
CAPITOLUL 4 ………………………….. ………………………….. ………………………….. ………………………….. …. 25
Implementarea aplicației ………………………….. ………………………….. ………………………….. ……………….. 25
4.1 Interfata apl icatiei ………………………….. ………………………….. ………………………….. …………………… 25
4.2 Modulul de salvare credentiale ………………………….. ………………………….. ………………………….. … 27
4.3 Injectare SQL ………………………….. ………………………….. ………………………….. ………………………… 28
4.4 Modulul anti -phishing ………………………….. ………………………….. ………………………….. …………….. 29
4.5 Dosarul electronic al pacientului ………………………….. ………………………….. ………………………….. . 30
CAPITOLUL ………………………….. ………………………….. ………………………….. ………………………….. ……. 36
Concluzii ………………………….. ………………………….. ………………………….. ………………………….. …………… 36
Bibliografie ………………………….. ………………………….. ………………………….. ………………………….. ……….. 38

Mircea – Constanti n Rosmeteniuc

2

Motivația alegerii temei

În ziua de astăzi, Internetul este indispensabil indiferent de domeniu și e ste utilizat de un procent
foarte ridicat din populație, dar din păcate nivelul de educație al acestora în privința utilizării
instrumentelor aferente este scăzut, fapt ce duce la potențiale fraude informaționale, în special
în domeniul financiar, dar și î n domeniul medical.

Sistemul informatic medical a devenit un component important al serviciilor moderne de
sănătate. Sistemul serviciilor medicale din secolul XXI și viitoare, presupune, pe lângă o resursă
umană înalt calificată, sisteme informatice și echipamente medicale care înglobează tehnologii
de ultimă generație, capabile să ofere informații complexe în timp util ș i să realizeze acțiuni de
mare precizie, coman date, telecomandate sau autonom, fiind foarte atent monitorizate și
securizate. Sistemul in formatic medical își fac e simțită prezența în orice incintă sanitară, și a
devenit „partener de nădejde” a personalului medical.

Dezvoltarea sectorului informaticii și a tehnologiei a adus, pe lângă sisteme perf ormante de
operare, o serie de mijloace car e amenință securitatea și integritatea acestor sisteme. Aceste
mijloace pot fi atacuri de natură software sau hardware. Cele mai periculoase atacuri sunt cele
de natură software, deoarece acestea pot afecta orice dispozitiv conectat la Internet, fără a fi, de
cele mai multe ori, observat.

Este necesară protecția sporită a calculatoarelor, dar și a browserelor din spitale împotriva
virușilor, deoarece aceștia pot intra în sistem prin conexiune la Internet, prin accesarea anumitor
site-uri, sau chiar din e -mail-ul personalului din spital. Odată intrați în sistem, virușii pot fura
baza de date a pacienților, pot cripta fișiere importante care servesc la îngrijirea bolnavilor sau
pot chiar să blocheze și să oprească funcționarea unui aparat medical, ceea ce po ate pune în
pericol sănătatea și protecția pacienților.

Un browser web este o aplicație software, ce permite utilizatorului parcurgerea resurselor
informatice ce se găsesc pe “World Wide Web” (www). O resursă informatică se identifică
printr -un “Uniform Resource Identifier” (URL), și poate fi o pagină web, o image, un clip video
sau orice alt tip de conținut. Browserele web pot fi folosite și pentru a accesa informații de pe
servere private.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

3

Primul browser a apărut în anul 1990, se numea WorldWideWeb ( mai târziu Nexus), și a fost
creat de Sir Tim Berners -Lee. Ulterior au apărut Netscape (1993), Internet Explorer (1995),
Opera (1996), Mozilla (1998), Safari (2003), Chrome (2008). În prezent Google Chrome este
lider de piață, cu o cotă de 44,06%, conform StatCounter.

Am ales tema mediului securizat pentru navigarea pe Internet, deoarece foarte mulți utilizatori
nu dau atenție la potențialele riscuri la care se expun în momentul în care furnizează date
personale anumitor site -uri. Consider că această prob lemă este importantă deoarece, sistemul
informatic medical, trebuie să fie foarte bine protejat și securizat pentru a nu fi victima
fraudelor online, fapt ce poate duce la spargerea bazelor de date, la furtul informațiilor sau la
alte pagube semnificative sistemului medical.

Prin acest proiect, doresc să testez sistemele de securitate ale unor spitalelor împotr iva celor
mai dăunători viruși. În acestă lucrare am abordat câteva probleme simple, dar frecvente și cu
o importanță ridicată, legate de mediul s ecurizat al browser -ului, propunând soluții pentru
fiecare. Metodele de securizare sunt: anti -phishing; prevenirea atacurilor de injectare SQL, prin
verificarea datelor introduse în Address Bar și în câmpurile de tip password și blocarea
accesului în cazul suspectării unui potențial atac; o tastatură virtuală pentru a preveni
înregistrarea tastelor apăsate (keyloggers); salvarea credențialelor întru -un fișier local și
criptarea acestuia pentru a preveni accesul neautorizat asupra informațiilor, decriptarea
realizându -se cu o cheie unică de criptare, deținută de utilizator.

Mircea – Constanti n Rosmeteniuc

4

CAPITOLUL 1
Atacurile software

Atacurile software sunt amenințări la adresa sistemelor de operare ale oricărui sistem și
echipament. De obicei, aceste atacuri sunt realizate c u ajutorul virușilor informatici. Cuvântul
“virus” este folosit pentru a descrie un tip de program, un software, pentru calculatoare,
telefoane sau alte device -uri ce are ca sc op infectarea sau chiar distrugerea datelor sau
componentelor device -ului. Virus ul este sub forma unui program de dimensiune foarte mică,
care are capacitatea de a se reproduce . Acesta se descarcă în calculator, de cele mai multe ori
fără permisiunea utilizatorului, sub forma unui fișier executabil, sau atașat unui program.

Virusul p rezintă două funcții importante:
a) Funcția de auto -executare;
b) Funcția de auto -multiplicare.

1.1 Clasificarea virușilor

Cea mai simplă clasificare a virușilor este în funcție de locul de acțiune al acesora:
 Virușii Hardware sunt acei viruși care afectează h ard discul și memoria;
 Virușii Software sunt cei care afecteazã fișierele și programele aflate în memorie sau pe
disc, inclusiv sistemul de operare sau componentele acestuia. Efectele acțiunii acestor viruși
sunt: distrugerea anumitor fișiere, modificarea dimensiunii acestora, ștergerea totală sau
parțială a informaților de pe de pe disc, formatarea discului, afectarea citirii informațiilor,
criptarea informațiilor, spargerea bazelor de date și furtul indormațiilor din acestea, încetinirea
vitezei de proces are a calculatorului până la blocaea acestuia.

În funcție de modul de activare, virușii informatici se împart în:
➢ Simpli – când nu au nici un criteriu de activare. Acești viruși infectează imediat ce ajung
în computer;
➢ Când verifică timpul – data calendar istică și/sau ora. Se lansează când se îndeplinește
condiția. Aceștia se numes „viruși -bombă cu ceas (time bomb)”;
➢ Când verifică dacă se lansează un anumit program – poartă denumirea de „bombă logică
(logic bomb)”;
➢ Când verifică existența unui anumit even iment sau condiție.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

5

În general, virușii sunt strecurați printre instrucțiunile unui program și se lansează la executarea
programului respectiv.

În funcție de tipul programului infectat, se pot clasifica în:
 Viruși de boot (MBR – Master Boot Record) – aceștia infectează programul care încarcă
sistemul de operare făcând imposibilă lansarea lui, respectiv pornirea calculatorului;
 Viruși de boot sector (BS) – sunt de același tip ca cei de MBR, doar că aceștia vizează
CD-urile și DVD -urile;
 Viruși de fișiere – infectează fișierele de tip .exe, .com, .sys, .drv sau .ovl;
 Viruși de macro -uri – se infiltrează în macrourile fisierelor de tip MS Office și se
folosesc de funcțiile Visual Basic;
 Viruși de link -uri – schimbă calea directoarelor spre zona unde este loca lizat virusul și
lansează apoi executabilul;
 Viruși -pereche – aceștia verifică numele fisierelor și atunci când găsesc două fișiere cu
același nume, dar cu extensii diferite, crează un nou fișier cu extensia .com, pentru că sistemul
de operare Windows lans ează in execuție mai întâi fișierele cu extensia .com și după aceea
fisierele cu extensia .exe. Ca urmare, se vor lansa mai întâi noile fișiere false create de virus ;
 Viruși specifici – care caută anumite aplicaț ii pentru a se lansa: VB script (Visual Basi c),
Java sau ActivX, care infectează programele Microsoft, încarcă un cod pe server și infectează
toate staț iile de lucru conectate la acel server.
După modalitatea de funcționare și de tehnicile folosite, virușii se mai pot clasifica în:
➢ viruși invizibili – care folosesc tehnici de mascare care ascund faptul că sistemul a fost
infectat. Când sistemul de operare încearcă să afle dimensiunea unui program infectat, virusul
ascuns scade o parte din aceste date, egală cu dimensiunea propriului cod și o înlocuie ște cu
datele corecte. Astfel, dacă programul este doar citit de un scanner de viruși, dar nu este rulat,
codul viral este ascuns și nu poate fi detectat;
➢ viruși polimorfici – Aceștia folosesc o tehnică de modificare a propriului cod viral,
utilizând tehni ci de criptare avansate. Acest proces de modificare se mai numește și mutație.
Prin mutație, un virus își poate schimba dimensiunea și compunerea. În plus, își pot
modifica semnătura, fiind astfel mult mai greu de detectat de programele antivirus.
➢ viruși rezidenți sau non-rezidenți în memoria calculatorului:
 viruși rezidenți în memorie – se instalează la un nivel înalt al memoriei RAM pentru a
se atașa fișierelor executabile sau documentelor de tip Microsoft Office ce sunt deschise la un
moment dat. Acești viruși pot controla întregul sistem și îl pot infecta oricând;

Mircea – Constanti n Rosmeteniuc

6

 viruși non -rezidenți – sunt activați numai la pornirea aplicației gazdă.
1.2 Modul de infectare

Mecanismul clasic de contaminare constă în rămânerea rezidentă în memoria internă a
secvenței p urtătoare a virusului, ascunsă într -un program care se execută. Programul modificat
prin acțiunea virusului cu secvența de virus incorporată, este salvat pe discul care a fost lansat,
constituind, la rândul să u, un nou purtător de virus. Virusarea este rel ativ rapidă, având ca efect
infectarea tuturor programelor l ansate în execuție, atât timp câ t virusul este rezident în memoria
internă.

O tehnică mai evoluată de contaminare constă în introducerea secvenței de program ce conține
virusul, în urma procesu lui de instalare a unui produs; în momentul instalării produsului,
acestuia i se adăugă instrucțiuni într -o secvență ce definește un cod de virus.
Cele mai vulnerabile fișiere sunt fișierele executabile de tip .exe și .com, deoarece acestea
conțin program ele în forma executabilă, care se încărcă în memoria internă pentru execuție,
unde s e localizează, inițial virusul. D e asemenea, pentru a pătrunde în zonele protejate ale
sistemului, virusul are nevoie de drepturi de acces pe care nu le are, în timp ce p rogramul în
care s -a implantat î i mai girează aceste drepturi, fără ca utilizatorul să aibă cunoștință de acest
lucru.

Virușii cu auto -multiplicare fac parte din categoria celor mai inteligenți viruși , deoarece
infectează tot ce ating. Efectul acestei aut o-multiplicări depinde de a doua parte a programului
de tip virus informatic. Prima parte este responsabilă de găsirea unui mijloc de a se auto -copia.
Cea dea doua parte constă în alegerea tipului de acțiune distructivă.

1.3 Virusul Ransomware

Virusul Ransomware este cel mai nou tip de software malițios care face referire la o categorie
foarte periculoasă de viruși informatici. În momentul în care este descă rcat în calculator,
blochează accesul utilizatorului la informațiile deținute în calculator. Para zitul se manifestă
sub mai multe forme și, pe lângă blocarea accesului la calculator, acesta poate implica furtul de
date, terminarea software -urilor legitime sau afișarea anumitor avertismente. Acesta cere
utilizatorului să plătească o sumă de bani pentru a putea decripta și accesa datele.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

7

1.3.1 Tipuri de paraziți Ransomware:

a) Ransomware ce criptează fișierele – această versiune este răspândită, în general, cu
ajutorul troianilor. După infiltrarea în calculator, descoperă cele mai utilizate fișiere și l e
criptează. De obicei, aceste fișiere includ imagini, fișiere audio sau alte fișiere și date impor tante
pentru victimă. Acest parazit copiază fișierele, le criptează și le șterge pe cele originale, după
aceea începe să afișeze mesaje de avertizare prin c are pretinde că singurul mod de a decripta
datele este prin achitarea unei recompense.

b) Ransomware -urile non-criptare – tipul acesta de ransomware blochează întregul sistem
de operare al PC-ului și caută metode să amenințe utilizatorul să plătească o taxă inventată. În
mod normal, hackerii utilizează nume precum FBI, poliție și altele. Imediat după ce infectează
sistemul, îl va verifica de fișiere ilegale, precum conținut pornografic sau versiuni nelicențiate
ale programelor din calculatorul victimei. Imed iat după ce sunt detectate, un virus va bloca PC –
ul și va afișa un mesaj imens care arată la fel ca unul ce aparține unei autorități guvernamentale.
În acest caz, victima este informată că are fișiere ilegale care au fost detectate după scanarea
calculator ului lui / ei. În plus, utilizatorului i se cere să plătească o taxă pentru a evita să meargă
la închisoare.

c) Ransomware ce blochează browserul. Această versiune de ransomware nu infectează
sistemul calculatorului. Se bazează pe JavaScript care blochează b rowserul și cauzează un
mesaj de avertizare uriaș. Această notificare falsă este foarte similară cu cea afișată de
ransomware -ul non -criptare. În principal, spune despre activitatea ilegală a utilizatorului pe
internet și cere o recompensă pentru a evita î nchisoarea. Desigur, acești ransomware nu au
nimic de a face cu FBI, Europol sau alte autorități guvernamentale. [6]
Majoritatea paraziților ransomware sunt capabili să se propage și să infecteze sistemele PC –
urilor țintă fără știrea utilizatorului. Aceșt ia pot afecta calculatoare ce rulează pe sistemul de
operare Windows, Mac OS X, Android și alte sisteme de operare. Există două moduri principale
prin care acești paraziți pot intra în calculator.

1) Cal troian și alt malware. Majoritatea paraziților ransomw are sunt răspândiți cu ajutorul
troianilor. Trojan.Lockscreen este cea mai des utilizată amenințare pentru instalarea de
ransomware în sistem. Aceștia intră în sistem fără știrea utiliz atorului și au tendința de a ajunge
în fișiere atașate email -urilor care se prezintă ca venind de la părț i de încredere, precum

Mircea – Constanti n Rosmeteniuc

8

Amazon, E -bay, instituții financiare, etc. După ce utilizatorul este înșelat în a descărca un astfel
de atașament în calculator, troianul, care are legătură cu ransomware -ul, este instalat în sistem.

2) Notificări de tip pop-up false. Alte ransomware -uri sunt distribuite prin intermediul
notificărilor false de tip pop -up care pot fi văzute fie pe website -uri ilegale , fie pe website -uri
legitime. Majoritatea sunt setate să raporteze despre actualizări ce lipsesc, însă de asemenea, vă
pot „informa” și despre o scanare gratuită ce este necesară sistemului pentru a elimina virușii
din acesta. Aceste reclame conțin nume și autentificări le gitime dubioase, deci pot înșela chiar
și cei mai experimentați utilizatori de PC în a apăsa pe ele.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

9

CAPITOLUL 2
Programele antivirus

Există revendicări concurente pentru inovatorul primului produs antivirus. Posibil prima
scoatere în evidență a unui virus informatic public în sălbăticie a fost efectuată de Brent Fix în
1987. Un program antivirus pentru a contracara virusul MKS polonez a fost lansat în 1987.
Antivirusul de instrucțiuni al Dr. Solomon, AIDSTEST și AntiVir au fost lansate în 1988. Dr.
Ahn Chul Soo (Charles Ahn, fondatorul AhnLab Inc) din Coreea de Sud a lansat , de asemenea ,
software -ul Anti-Virus numit V1 în 10 iunie 1988. Până la sfârșitul anului 1990, au fost
disponibile nouăzeci de produse antivirus separate, inclusiv Norton , AntiVirus , McAfee ,
VirusScan. Printre contribuabilii care au lucrat în trecut la virușii informatici și contramăsuri
au fost Fred Cohen, Peter Tippett și John McAfee.

Înainte ca conexiunile la Internet să fie larg răspândite, virușii s-au răspândit , de obicei , prin
dischete infectate. Software -ul antivirus a intrat în uz, dar a fost actualizat relativ rar. În acest
timp, controlorii de viruș i trebuiau în esență să verifice fișierele executabile și sectoarele de
boot ale dischetelor și dischetelor. Cu toate acestea, deoarece utilizarea internetului a devenit
obișnuită, inițial prin utilizarea modemurilor, virușii s-au răspândit pe Internet.

Macrorele puternice utilizate în aplicațiile procesoare de text, cum ar fi Microsoft Word, au
prezentat un alt risc. Scriitorii de virusi au început să utilizeze macrocomenzile pentru a scrie
viruși încorporați în documente. Acest lucru a însemnat că computerele ar putea fi, de
asemenea, expuse riscului de infectare cu documente cu macrocomenzi atașate ascunse ca
programe.

Ultimel e programe de e-mail, în special Microsoft Outlook Express și Outlook, au fost
vulnerabile la virușii încorporați în corpul e-mailului. Acum, computerul unui utilizator ar putea
fi infectat doar prin deschiderea sau previzualizarea unui mesaj. Acest lucru a însemnat că
verificatorii de virusi au trebuit să verifice mai multe tipuri de fișiere. Ca întotdeauna
conexiunile în bandă largă au devenit normele și tot mai mulți viruși au fost eliberați, a devenit
esențială actualizarea din nou a virusilor. Chiar și atunci, un nou virus cu zi zero ar putea deveni
larg răspândit înainte ca companiile antivirus să lanseze o actualizare care să le protejeze. [10]

Mircea – Constanti n Rosmeteniuc

10

Un program antivirus este folosit ca măsură de securitate și instrument de protecție împotriva
virușilor de calculator. Activitatea unui program antivirus este scanarea, detectarea și
prevenirea virușilor. Nu toate programele antivirus pot ef ectua aceste sarcini de bază.

Programele antivirus sunt un instrument esențial cere trebuie instalat e pe computer sau re țea.
Programele antivirus oferă protecție în timp real . Programele antivirus pot fi separate sau pot fi
incluse într -o suită de protecție și sunt distribuite în versiuni pe 32 și 64 de biți pe mai multe
sisteme de operare, cum ar fi Windows, Linux și Mac, permițând protejarea tuturor tipurilor de
calculatoare împotriva software -ului rău intenționat.

Un antivirus este o aplicație care se instalează pe calculator, de regulă imediat după instalarea
Windowsului, deci înaintea altor programe care ar pute fi vi rusate. Un program antivirus poate
fi instalat astfel încât să monitorizeze permanent programele lansate în execuție (cele încărcate
în RAM) sau poate fi folosit pentru scanare i n momentul dorit. Aceste aplicații conțin o listă cu
virușii creați și lansați în lumea calculatoarelor, listă care este actualizată mereu cu denumiri de
noi viruși precum ș i cu modalitatea de îndepărtare a virușilor depistaț i.

Programele antiv irus sunt create special pentru detectarea virușilor prin verificarea conținutului
fișier elor și semnalarea prezenței semnăturii unui virus cunoscut sau a unor secvențe suspecte
în interiorul lor , dezinfectarea sau ștergerea fișierelor infectate și prevenirea infectării prin
supravegherea acțiunilor din memorie și semnalarea întâlnirii unor an umite acțiuni care ar putea
fi generate de existența în memorie a unui virus.

Securitatea reprezintă o preocupare majoră în ceea ce prive ște siguranța informațiilor personale.
Dacă c ineva ar accesa informațiile și le -ar utiliza în scopuri diverse, conseci nțele ar fi
devastatoare . Securitatea informațiilor se re feră la trei domenii principale:
✓ Confidențialitatea – inform ațiile despre persoane trebuie să fie disponibile numai pentru
cineva ca re are dreptul să o vizualizeze;
✓ Disponib ilitate – informațiile tre buie să fie accesibile numai atunc i când cineva are
nevoie de ele;
✓ Integritate – informațiile trebuie modificate numai de persoanele autorizate să le editeze.

Aceste concepte se aplică utilizatorilor de internet de acasă , la fel de mult ca și în cazul ori cărei
rețele corporative sau guver namentale. Probabil nu l -ai lăsa pe un străin să se uite prin
documentele tale importante. În același mod, poate doriți să păstrați confidențial sarcinile pe

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

11

care le efectuați pe computer, indiferent dacă urmărești investi ții sau trimiți mesaje de e -mail
familiei și prietenilor. De asemenea, ar trebui să existe o anumită asigurare că informațiile pe
care le introduceți în computer rămân intacte și sunt disponibile a tunci când aveți nevoie de ele.
Unele riscuri de securitate apar din cauza utilizării intenționate a calculatorului de către intruși
prin Internet. Altele sunt riscuri cu care vă veți confrunta , chiar dacă nu ați fost conectat la
Internet (de exemplu, defecțiuni de pe hard disk, furt, întreruperi de alimentare). [10]

Un instrument antivirus este o componentă esențială a majorității suitelor antimalware. Trebuie
să identifice fișierele rău -intenționate cunoscute și anterior nevăzute, cu scopul de a le bloca
înainte de a le provoca daune. Deși instrumentele diferă î n implementarea mecanismelor de
detectare a malware -ului, acestea tind să includă aceleași tehnici de detectare a virușilor.

Tehnicile de detecție a virușilor pot fi clasificate după cum urmează:
a) Detectarea bazată pe semnături utilizează aspecte cheie al e unui fișier examinat pentru
a crea o amprentă statică a malware -ului cunoscut. Semnătura ar putea reprezenta o serie de
octeți în fișier. Ar putea fi, de asemenea, un hash criptografic al dosarului sau al secțiunilor
acestuia. Această metodă de detectare a malware -ului a reprezentat un aspect esențial al
instrumentelo r antivirus de la începutul lor . O limitare majoră a detectării bazate pe semnături
este că, prin ea însăși, această metodă nu este capabilă să semnaleze fișiere malware pentru care
semnături le nu au fost încă dezvoltate. Având în vedere acest lucru, atacatorii moderni își
schimbă frecvent creațiile pentru a -și păstra funcționalitatea răuvoitoare schimbând semnătura
fișierului.
b) Detectarea pe bază de euristică urmărește să depisteze în mod gene ric noi malware prin
examinarea statică a fișierelor pentru caracteristici suspecte fără o potrivire exactă a semnăturii.
De exemplu, un instrument antivirus ar putea căuta prezența unor instrucțiuni rare sau coduri
junk în fișierul examinat. Instrumentul ar putea emula, de asemenea, rularea fișierului pentru a
vedea ce ar face dacă ar fi executat, încercând să facă acest lucru fără a încetini semnificativ
sistemul. Este posibil ca un singur atribut suspect să nu fie suficient pentru a arăta fișierul drept
periculos. Cu toate acestea, mai multe astfel de caracteristici ar putea depăși pragul de risc
așteptat, determinând instrumentul să clasifice fișierul ca malware. Cel mai mare dezavantaj al
euristicii este că poate bloca în mod inadecvat fișierele legitim e ca malware.

c) Depanarea comportamentală observă modul în care programul execută, mai degrabă
decât simularea executării. Această abordare încearcă să identifice programele malware prin
căutarea comportamentelor suspecte, cum ar fi dezambalarea codurilor d e eroare, modificarea

Mircea – Constanti n Rosmeteniuc

12

fișierului gazdă sau observarea intrărilor de taste. Observarea unor astfel de acțiuni permite unui
instrument antivirus să detecteze prezența unui malware nevăzut anterior pe sistemul protejat.
Ca și în cazul euristicii, fiecare dint re aceste acțiuni ar putea să nu fie suficient pentru a clasifica
programul drept malware. Cu toate acestea, luate împreună, ele ar putea indica un program rău
intenționat. Utilizarea tehnicilor de comportament aduce instrumentele antivirus mai aproape
de categoria sistemelor de prevenire a intruziunilor (HIPS), care au existat în mod tradițional
ca o categorie de produs separată.

d) Detectarea pe bază de cloud identifică programele malware prin colectarea datelor de
pe computerele protejate în timp ce o anal izează pe infrastructura furnizorului, în loc să
efectueze analiza la nivel local. Acest lucru se realizează de obicei prin captarea detaliilor
relevante despre fișier și a contextului de execuție a acestuia pe punctul final și furnizarea
acestora către mo torul cloud pentru procesare. Agentul local antivirus trebuie doar să efectueze
procesări minime. Mai mult decât atât, motorul cloud al furnizorului poate determina modele
legate de caracteristicile și comportamentul malware prin corelarea datelor de la ma i multe
sisteme. În contrast, alte decizii de bază ale componentelor antivirus se bazează în principal pe
atributele și comportamentele observate la nivel local. Un motor bazat pe cloud permite
utilizatorilor individuali ai instrumentului antivirus să bene ficieze de experiențele altor membri
ai comunității.

Deși abordările de mai sus sunt enumerate sub titluri individuale, distincțiile dintre diferi tele
tehnici sunt adesea neclare . De exemplu, termenii "euristică" și "detec ție comportamentală"
sunt folosiț i în mod interschimbabil. În plus, aceste metode, precum și detectarea semnăturilor,
au tendința de a juca un rol activ atunci când instru mentul încorporează capacități bazate pe
cloud. Pentru a ține pasul cu intensificarea fluxului de mostre malware, furn izorii de antivirus
trebuie să includă mai mult e straturi în instrumentele lor.

Caracteristici ale software -ului antivirus :
1) Scanare de fundal: Software -ul antivirus scanează toate fișierele deschise din back -end.
Oferă protecție în timp real, protejând c omputerul de amenințări și alte atacuri rău
intenționate.

2) Scanările complete de sistem nu sunt, în gene ral, esențiale atunci când există deja o
facilitate de scanare pentru acces. Verificările complete ale sistemului sunt esențiale
atunci când instalați s oftware -ul antivirus pentru prima dată sau dacă ați actualizat recent

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

13

software -ul antivirus. Ac est lucru este făcut pentru a asigura că nu sunt prezenți viruș i
prezenți în sistem . Scanările complete de sistem sunt, d e asemenea, utile atunci când
reparați c omputerul infectat.

3) Definirea virușilor : Software -ul antivirus depinde de definițiile virușilor pentru a
identifica programele malware. Acesta este motivul pentru care actualizează noile
definiții ale virușilor. Definițiile malware conțin semnături pentru orice virusuri noi și
alte tipuri de malware care au fost clasificate ca fiind sălbatice. Dacă software -ul
antivirus scanează orice aplicație sau fișier și dacă găsește fișierul infectat de un
program malware similar cu malware -ul din definiția malware. A poi software -ul
antivirus termină fișierul de la executarea prin împingerea acestuia la carantină.
Malware -ul este procesat corespunzător corespunzător tipului de software antivirus.
Este cu adevărat esențial ca toate companiile antivirus să actualizeze de finițiile cu cele
mai recente malware -uri pentru a asigura protecția PC -ului combătând chiar și cea mai
recentă formă de amenințare dăunătoare. [14]

Fig. 2 Modul de acționare al unui antivirus
Ce fac antivirușii?
1. Verifică integritatea:
Utilitarel e de veri ficare a integritatii calculează o valoare virtuală unică pentru fiecare fișier din
sistem. Prima oară câ nd se face acest lucru, aceste valori de autentificare (sau, date de
integritate, bazate pe sume de control), sunt memorate fie într -un fișier separat, fie în fișiere
diferite, câte unul în fiecare subdirector. Odată la catva timp, verificatorul este rula t din nou
pentru a constata dacă s -au facut sau nu, schimbări asupra fiși erului.
Verificatorul recalculează valorile pentru fiecare fișier, și le compară cu valorile memorate.
Astfel de valori pot fi calculate folosind metoda numită verificarea ciclică a redundanței (CRC).

Mircea – Constanti n Rosmeteniuc

14

Aceasta metodă asigură o verificare destul de sigură , cu scopul de a consta ta dacă un fisi er a
fost sau nu modificat: dacă se util izeaza o metoda CRC pe 32 de biți, șansele ca o schimbare să
rămână neobservată sunt de 1 la peste patru miliarde, î n afara cazurilor cand valoarea CRC -ului
pentru un fișier este aceiași înainte ca și după ce el s -a schimbat.
O altă cale de a constru i o valoare de autentificare pentru un fisier este utilizarea unei sume
criptografice de verificare. O astfel de sumă de verificare este creată de un a lgoritm complex,
care utilizează ca intrare un numar sec ret și fisierul care trebuie verificat.
Există vi ruși care încearcă să evite verificatoarele de integritate. Ei sunt rezidenti în memorie
și detectează momentul cand un verificator de integritate (sau or ice alt program) deschide un
fișier executabil î n mod ul citire. Înainte ca sa se permită o astfel de citire, virusul dezinfectează
mai întâi fișierul. După ce s-a confirmat integritatea fișierului, acesta este din nou infectat. Acest
tip de virus se numeste "un virus stealth" (ascuns).
O cale de a evita ac est lucru, este de a încarca sistemul de pe o disch etă sistem originală,
protejată la scriere. Dacă presupunem că fișierele de pe dischetă nu sunt infectate, nici un fel de
viruși stealth nu vor fi în memorie după bootare. Oricum, discul sistemului ar p utea să fie
infectat, fie de la producator, fie din ti mpul câ nd, pentru un motiv oarecare, nu a fost p rotejat la
scriere. Deci această strategie nu asigură o securitate perfectă , dar este foarte aproape de ea.
Un virus ar putea să infecteze un fișier în așa fel, încâ t datele de autentificare să rămână aceeași ,
sau ar putea să o recalculeze. De exemplu dacă un scriitor de viruș i ar fi avut acces la polinomul
care a fost folosit pentru a calcula CRC -ul, acest lucru ar fi relativ ușor. Sunt vulnerabile î n
special val orile care sunt memorate în interiorul fișierul ui. O soluț ie ar fi g enerarea unui
polinom aleator câ nd este instalat software -ul antivirus.
Referitor la puterea m etodei de verificare a integrităț ii, Vesselin Bontchev scria in VIRUS -L:
"Pe deasupra, nu este posibil ca un virus să poată evita orice schem ă de detecție pe care o
cunoaș te. Un verificator de integritate bine implemen tat, ar trebui sa fie capabil să reziste
oricărui virus, chiar dacă autorul (v irusului, PM) are sursa completă a î ntregului program. De
aceea, în primul râ nd, verificatorii de int egritate sunt mai puternici decât antivirusii care
monitorizează activitatea sistemului (rezidenți) și scannerele!" Ei pot fi evitaț i doar de un tip de
atac, dar acesta e ste un atac î mpotriva verificatorilor de i ntegritate în general, și autorul
virusului nu trebuie să știe cum este implementat î n particular un verificator de integritate."

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

15

Utilizarea unui verificator de integritate de încredere, care îl informează întotdeauna pe
utilizator dacă a avut loc o schimb are, nu garantează că nici un v irus nu va ma i infecta niciodată
sistemul. Există viruși care infectează un executabil exact î n mo mentul cand a fost schimbat.
Deși verificatorul de integritate va raporta schimbarea, utilizatorul o va permite totusi.
2. Monitorizează :
Un progra m de monitorizare este invo cat în timpul pornirii sistemului, și rămâne rezident în
memorie. El monitorizează î ntreruperile c are sunt apelate de obicei de câtre viruși, și cer
utilizatorului să confirme orice acț iune care ar putea proveni de la un virus.
Dificultatea este cum să det ermini care acțiuni sunt determinate de viruți și care nu. La fel ca și
scanarea euristică, acest lucru cauzează mulți falș i pozitivi. Un monitor trebuie să păstreze, de
asemenea, o listă de falș i pozitivi și să memoreze ce are voie sa facă un program ș i ce nu.
Utilizatorul este alertat dacă un monitor detectează o acțiune cauzată de un virus. Monitorul
oferă apoi posibilitatea de a renunța la acțiune sau nu. Datorită naturii tehnice a acestor acț iuni,
doar un utilizator care este un foarte bun cunoscător a l sistemului poate să ia o acțiune
responsabilă, adică să permită sau nu operația î n curs.
O serie de viruși existenți atacă anumite produse anti -virus, cu scopul de a le dezactiva sau de
a le invada. Exis tă deja viruși inteligenți, care pot detecta prezen ța unui program de
monitorizare și se pot abține de la orice acțiuni de tip virus î n timp ce monitorul este activ. Î n
genera l, un virus poate manipula oricâ nd un monitor. Pe sistemele DOS un virus poate, d e
asemenea, să treacă de un monitor prin apelul dir ect al R OM BIOS: monitorul interceptează
doar apeluri de î ntreruperi.
3. Protecție hardware:
Protectia hardwar e contra virușilor este, de obicei, livrată adițional, ca o placă ce este introdusă
într-un slot liber de extensie, î n interiorul calculatorului. Un program anti -virus, memorat în
ROM pe placă, este apelat la "startup", înainte ca să i se permită sistemului să booteze.
Principalul avantaj al utilizării protecției hardware este că poț i fii sigur de co dul de pe placă,
cod ce este executat î naintea unui s ector boot sau prog ram, eventual infectate. Protecția
software apare întotdeauna după procesu l de bootare, de exemplu: execuția unui sector boot,
încărcarea de fiș iere sistem, drivere de dispozitiv, etc.

Mircea – Constanti n Rosmeteniuc

16

Avantaje aditionale ale protecției hard sunt faptul că programul lui va fi executat î ntotdeauna,
la fiecar e startup, codul este rezident în ROM ș i de aceea nu poate fi modificat, și facilitatea de
a include protecț ie prin parole.
Oricum, programul de monitorizare de pe placa hardware are aceleași probleme ca ț i monitorul
software sau scann erul euristic: problema e cum să determini ce acț iuni pot proveni de la un
virus, cu alte cuvinte, ce presu pune un comportament tipic viruș ilor.
"Există o mulțime de că i prin care se poate trece de astfel de plăci. Ideea aici este ca, fară a fi
prea evident, placa trebuie să decidă care e ste un acces "legitim" la disc și să oprească doar
accesele care crede că nu sunt "legitime". Din pacate, această problemă este neclară și virusul
poate sa -și mascheze î ntotdeauna accesul, ca fiind legitim" (Bontchev) .
Așa cum un virus poate s ă treacă de un monitor software prin ap elul direct al BIOS -ului, tot așa
poate să treacă, de o placă hardware printr -un apel direct al ei. Programul de pe plac a hardware
rămâne rezident în spațiul de adrese al PC -ului. Asta înseamnă ca poate fi apelat din orice loc.
Într-un anumit stadiu al programul ui de verificare, se decide dacă o cerere a discului este
acceptată. Dacă virusul ar apela programul exact în acel loc, accesul său la disc va fi, î n mod
fals, acceptat.
4. Protecț ia la scriere:
Fișierele pot fi marcate, pentru a in dica faptul ca ele nu trebuie să fie modificate sau șterse.
Dacă acest lucru este implementat în software, semnul poate fi șt ers din soft ware . Programul
care gestionează scrierea protejată este pus în fața problemei dacă să permită sau nu o cerere de
ștergere a unui semn. Apar aceleați probleme ca ș i cele prezente la un program de monitorizare.
5. Programe momeală :
Un program anti -virus care utili zează programe momeală creează o mulțime de fișiere
executabile în afara fișierului sistem, încearcă sa le execute, și apoi compară executabilele cu
cele create inițial. Dacă a aparut vreo schimbare, este probabil din cauza unui virus.
Probl emele create de această metodă includ faptul că nu toți virușii se împrăștie câ nd sunt create
executabile sau câ nd sunt executate. Metoda poa te oferi un suport pentru detecție ș i pentru un
pachet care utilizează alte strategii. Este un fel de metodă eurist ică, aplicată î ntr-un mediu
relativ sigur.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

17

6. Vaccinarea:
Mulți viruși marchează fiș ierele p e care le -au infectat, pentru că ei infectează fișierele doar o
singură dată. Totodată, virușii rezidenți în memorie verifică dacă nu sunt deja rezidenți în
memorie: acestea sunt așa -numitele apeluri de "eș ti acolo?". Idee a din spatele vaccină rii este d e
a pune semne de "infectat", cât mai multe posibil pe toate fișierele, și de a implementa cât mai
multe răs punsur i de "da" la toate apelurile "Eș ti acolo" po sibile. Asta pentru a face virușii să
creadă ca ei au infectat deja un sistem, lucru pe care de fapt nu l -au fă cut.
Această metodă creează mai multe probleme. În primul rand, nu toți virușii își verifică prezen ța
în modul acesta simplu. În al doilea rând, o mulțime de viruș i au t este pentru conflict de
prezență. Ș i trei, acest tip de protecț ie este foarte usor d e evitat. De exemplu, considerați un
virus rezident în memorie care verifică prezența sa prin apelul unei î ntreruperi DO S, folosind
un numar nefolosit încă .
Dacă, de exemplu , se returnează numarul 100 î ntr-un anumit r egistru, virusul presupune că este
deja rezident î n memorie. Un program de vaccinare p entru virus ar face exact acelaș i lucru. Un
mod de a evita acest lucru ar fi î ntoarcerea unui alt numar (de exem plu 101) drept numarul ce
indică prezența, î n versiunile viitoare ale virusului.

Mircea – Constanti n Rosmeteniuc

18

CAPITOLUL 3
Securitatea online

În fiecare secundă, milioane de oameni folosesc Internetul, fie în scopuri profesionale,
educaționale, pentru relaxare, Internetul este folosit î n orice domeniu, pentru orice scop al
fiecărui individ. Unele persoane caută informații din anumite domenii, în timp ce alții își câștigă
banii cu ajutorul Internnetului sau îl folosesc pentru a face tranzacții online. Se trimit e -mailuri,
se joacă în rețe a, se introduc date importante în baze de date. Orice se poate realiza cu ajutorul
Internetului. Din păcate, există și oameni care profită de tot acest trafic de informații, reușind
să le fure și să le folosească pentru a face rău.
Securitatea online este foarte importantă atât pentru siguranța fiecărei persoane, cât și pentru
siguranța și protecția unui sistem, cum ar fi sistemul informatic medical. Securitatea și
confidențialitatea cantității masive de date personale dedicate este grav afectată, putând d uce la
furtul datelor cu caracter personal și chiar la afectarea vieții unui pacient.

3.1. Niveluri de atacuri
Putem clasifica tipurile de atac pe trei niveluri: atacurile opportune, intermediare sau sofisticate.
a) Atacul oportun: este cel mai frecvent tip de atac si este asociat cu atacatorii de ocazie. Acest
tip are următoarele caracteristici: atacatorul are un obiectiv foarte general și folosește o gamă
largă de ținte. Unul dintre impacturile imediate poate fi refuzul serviciilor (DoS); atacatorul
folosește instrumente gata făcute pentru a scana, sonda sistemul și de a profita de vulnerabilități;
atacatorul nu trebuie să aibă un cont de utilizator pentru a pătrunde în interiorul sistemului, spre
exemplu poate folosi un e -mail virusat; atacatorul are c unoștințe limitate despre sistemul intern,
procese sau personal; există o frecvență ridicată a acestor tipuri de atacuri; aceste atacuri au un
impact relativ scăzut asupra sistemelor bine administrate.

Metoda de protecție împotriva acestui tip de atacuri este configurarea programelor firewall ce
fac controlul accesului, monitorizând sistemul și aplicațiile pentru a învăța noi vulnerabilități,
și ulterior actualizarea bazei bazei de date cu acestea.
b) Atacul intermediar: au în mod tipic un obiectiv speci fic organizat. Atacatorul execută
aceleași tipuri de scanări și sondări, dar își ascunde activitatea. Un astfel de atac are următoarele
caracteristici: atacul poate compromite inițial unui din sistemele externe de încredere; atacatorul
are răbdare și cunoș tințe avansate; există o mare probabilitate a reușitei în comparație cu atacul
de tip oportun.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

19

c) Atacul sofisticat: are un obiectiv specific organizat și poate afecta într -un mod considerabil
serviciile esențiale. Acest tip de atac poate încerca să comp romită personalul intern. Atacurile
sofisticate au o probabilitate foarte ridicată de succes. Acest tip de atac are următoarele
caracteristici: atacatorul alocă timp suficient pentru strângerea de informații despre arhitectura
sistemului și personalului; a tacatorul are un obiectiv bine determinat; atacatorul își poate
modifica s au crea propriile instrumente.

3.2 Tipuri de atacuri
3.2.1 Keylogger
Realizează o acțiune de urmărire a tastelor apăsate de la tastatură, cu scopul de monitorizare și
înregistrar e a semnalelor trimise de la tastatură. Softurile de bază pentru keyloggers sunt
împărțite in cinci categorii, din perspectiva tehnică:
– bazat pe hypervisor – keylogger -ul rulează ca o mașină virtuală;
– bazat pe nucleu (kernel) – metodă complexă atât p entru scriere cât și pentru combatere;
– bazat pe API – keyloggeri se atașază de aplicația de programare a interfeței pentru tastatură,
apoi sistemul de operare înregistrează și notifică keylogger -ul;
– formular pe bază de captură a jurnalului keylogger -ului cu observații de pe pagini web care
permit utilizatorilor să introducă date care sunt trimise pe server pentru procesare; formularul
este procesat înainte de a trece prin Internet și de criptarea HTTPS;
– analizarea pachetelor – reprezintă actul de i nterceptare a pachetelor TCP, implică capturarea
traficului de rețea asociat cu preluarea parolelor necriptate.

O soluția se numește “virtual keyboard” (tastatura virtuală), preia funcțiile tastaturii fizice și
poate fi folosită cu success în acțiuni sim ple de dactilografiere, respectiv introducerea unui
nume de utilizator și a unei parole.
O altă soluție de prevenire este un anti -keylogger, un tip de software proiectat pentru detecția
softurilor keylogger, și include abilitatea de a șterge sau imobiliza softurile keylogger ascunse
pe PC.

3.2.2 Phishing
Reprezintă un tip relativ nou de atac asupra corporațiilor, dar și asupra calculatoarelor
personale, ce are ca modalitate de lucru “pescuirea” informațiilor. “Pescarii” utilizeză e -mail-
urile de tip spam pentru a -și direcționa victimele către site -uri web create de către hacker, ce
par de încredere la prima vedere. “Pescarii” și -au dezvoltat metodele și tehnicile de “pescuire”,

Mircea – Constanti n Rosmeteniuc

20

utilizând coduri malițioase ascunse în fișiere foto sau aplicații web, care la rândul lor instalează
diverse aplicații fantomă, care sunt activate imediat ce e -mail-ul a fost deschis.

Phishing -ul este o metodă de furt de identitate, de aceea astfel de atacuri vor fi orientate către
centrele de date și în special către companiile m ari. În momentul în care atacatorul a reușit să
obțină date de identificare ale utilizatorului, aceasta poate pătrunde în interiorul bazei de date
și poate accesa toate resursele rețelei. Această metodă este foarte populară în rândul fraudelor
bancare, și este folosită în special pentru transferarea fondurilor ilegale în diverse rețele bancare
(o nouă metodă de spălare a banilor).

Cea mai simplă metodă de combatere a phishing -ului este educarea utilizatorilor în privința
utilizării datelor personale pe ca lculator. Pe termen lung, companiile trebuie să ajungă la o
înțelegere în a utiliza o modalitate de legitimare unanim acceptată pentru autentificarea e -mail-
urilor. Un certificate de expeditor de încredere poate funcționa cu S/MIME, o aplicație suportată
de majoritatea softurilor de e -mail.
Un exemplu de astfel de atac recent a fost descoperit de laboratorul anti -malware de la Panda
Security. Atacatorul folosește platform Applie iTunes, loc unde utilizatorii își introduc în
fiecare zi datele cărților de cre dit. Utilizatorii primesc un e -mail prin care sunt informați că au
făcut o tranzacție cu o valoare mare și pentru rezolvarea problemei, sunt rugați să acceseze un
link și să descarce un fals cititor de PDF, care odată instalat, redirecționează utilizatorul către
pagini web infectate.

3.2.3 SQL Injection
Aceasta este un tip de atac, deseori folosit pentru compromiterea aplicațiilor utilizate la
manipularea datelor. Acest lucru se realizează prin introducerea unor porțiuni de cod SQL în
câmpuri de intrare s au în bara de adrese, cu scopul de a trece o anumită interogare SQL în baza
de date. Acest atac exploatează o vulnerabilitate de securitate dintr -o aplicație soft. Această
vulnerabilitate apare atunci când câmpurile de intrare sunt incorect filtrate pentru “string literal
escape characters” (caractere folosite pentru a schimba modul de interpretare a browser -ului).
Aceste atacuri sunt cunoscute sub forma atacurilor vector asupra site -urilor web, dar pot fi
folosite pentru a ataca orice tip de bază de date S QL.

O metodă de prevenire a inserției SQL este folosirea caracterelor “escape” (de scăpare), ce au
un înțeles special în SQL. Astfel, se poate crea o listă neagră a caracterelor ce trebuie să fie

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

21

transformate. Spre exemplu, orice apariție a simbolului (‘ ) trebuie înlocuit cu simbolul (“)
pentru a forma o secvență de caractere validă.

O alta metodă este restricționarea accesului utilizatorilor la baza de date prin setarea și limitarea
unor permisiuni la strictul necesar pentru fiecare utilizator în parte . Spre exemplu, pe un server
SQl, o procedură de logon pentru baza de date poate fi restricționată de la selectarea datelor din
anumite tabele, fapt ce limitează încercările de exploatare prin introducerea scripturilor Java în
toate coloanele de text din b aza de date.

3.2.4 Tracking cookies
Un cookie HTTP sau un modul cookie este un text special, deseori codificat, trimis de la un
server la un navigator web și înapoi, de fiecare dată când acesta accesează acel server. Cookie –
urile sunt folosite pentru aut entificarea și urmărirea comportamentului utilizatorilor. Un bun
exemplu de folosire este implementarea sistemului de “coș de cumpărături”. Cele mai multe
browsere modern dau opțiunea utilizatorului să decidă dacă acceptă cookie -urile, dar refuzul
acestora pot limita facilitățile oferite de anumite site -uri.

Serverele web folosesc cookie -urile cu scopul de a diferenția utilizatorii și pentru a putea
reacționa în funcție de acțiunile acestora în cadrul unei sesiuni formate din mai multe tranzacții
separate . O altă aplicație a acestora este permiterea utilizatorilor modificarea felului în care sunt
afișeate paginile de web, în funcție de preferințele personale, care sunt reținute între sesiuni.
Există câteva dezavantaje ale folosirii cookie -urilor, legate d e problem de securitate a datelor
personale:
 Identificarea imprecisă: cookie -urile nu pot identifica preciz utilizatorii, ci mai degrabă
combinația de utilizator, calculator și browser; oricine folosește mai multe conturi de utilizator,
calculatoare sau br owsere, va avea mai multe seturi de cookie -uri.
 Interceptarea cookie -urilor: în general, cookie -urile sunt transferate între un server web
și un calculator al utilizatorului; deoarece acestea pot conține informații confidențiale, ele nu
trebuie să fie acc esibile altor calculatoare. În realitate, sesiunile HTTP obișnuite sunt vizibile
tuturor calculatoarelor din rețea, care pot intercepta pachetele de date. O soluție este folosirea
HTTPS care folosește un sistem numit Transport Layer Security pentru a cript a toate datele
schimbate între server și calculatorul utilizatorului.
 “Otrăvirea” cookie -urilor: un atacator poate să modifice conținutul cookie -urilor și să le
trimită înapoi server -ului. Un exemplu este reținerea sumei care trebuie platită pentru produs ele
dintr -un coș virtual și modificarea acestei valori, fapt ce ar putea duce la un preț real plătit mult

Mircea – Constanti n Rosmeteniuc

22

mai mic. Pentru a se proteja, cele mai multe site -uri rețin doar un identificator de sesiune (un
număr unic, generat aleator).

3.3 Metode de securit ate
3.3.1 Criptarea datelor
Calculatoarele trimit mesaje de date prin Internet sub forma de pachete. Unul dintre cele mai
mari riscuri de securitate dintr -o rețea îl reprezintă interceptarea transmisiunilor. Pentru
protecția împotriva acestora, toate tra nsmisiunile trebuiesc criptate. Criptarea datelor reprezintă
reașezarea datelor într -un mod aleator, care pot fi reordonate numai prin aplicarea cheii
criptografice corecte. Calculatoarele realizează criptarea prin multiplicarea și împărțirea
valorilor tri mise cu numere mari.

Există două tipuri de criptare: criptarea cu cheie unică (cheie simetrică), și criptarea cu cheie
publică (cheie asimetrică). Criptarea cu cheie unică folosește o singură cheie, partajată pe
ambele părți și folosită la criptare și de criptare. Criptarea cu cheie publică folosește o cheie
disponibilă pe scară largă (publică) și o cheie pe care nu o cunoaște nimeni cu excepția
utilizatorului (privată).

Există mai multe tipuri de sisteme de criptare cu algoritmi cu cheie secretă, dar vo m analiza
doar cifrul DES (Data Encryption Standard). Astăzi este considerat a fi nesigur în multe situații,
deoarece cheia sa are doar 56 biți; astfel de chei au fost sparte în mai puțin de 24 de ore.
Algoritmul are mai multe forme Simple DES, Triple DES, cea din urmă fiind cea mai puternică.

DES criptează și decriptează datele în blocuri de 64 de biți, folosind o cheie de lungime 64 biți.
Din cei 64 biți ai cheii, sunt folosiți doar 56 de către algoritm, restul fiind folosiți ca biți de
paritate. DES es te alcătuit din 16 pași identici de procesare, numiți runde, care produc textul
crifrat. Pe măsură ce crește numărul de runde, securitatea algoritmului crește exponențial.

Există mai multe exemple de spargere a codurilor (DES): atacul de forță brută fiin d cel mai des
folosit, deoarece este cel mai simplu, dar în același timp, cel mai ineficient din punct de vedere
al timpului de spargere. Alte exemple sunt: criptanaliza diferențială (DC), criptanaliza liniară
(LC) și atacul lui Davies. Aceste tipuri sunt teoretice și destul de greu de implementat în
practică.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

23

3.3.2 Anti -phishing
Cauzele principale pentru vulnerabilitățile exploatate de phishing pot fi împărțite în câteva
categorii:
▪ Metode slabe de autentificare;
▪ Vulnerabilitățile browser -ului;
▪ Găurile de securitate;
▪ Instrumentele de desktop nesecurizate;
▪ Lipsa atenției utilizatorilor;
▪ Ușurința de a imita o sursă de încredere.

În prezent există mai multe produse disponibile care folosesc clasificarea textului pentru a
încerca să se reducă pagubele c reate de phishing. Unul dintre ele este AntiPhish. Aceasta este
o extensie a browser -ului care este folosit pentru a proteja utilizatorii fără experiență împotrivă
atacurilor de tip phishing. AntiPhish compară URL -ul și adresa de IP legitimă cu cea pe care
pagina o localizează.

Din păcate, majoritatea e -mail-urilor ce conțin atacuri de tip phishing, le cer victimelor să facă
click pe un hyperlink. Aceste hyperlink -uri pot fi categorizate după cum urmează:
▪ Cazul când link -ul actual și cel visual sunt dife rite (hyperlink -ul din e -mail nu duce în
aceiași locație ca cel pe care îl vede utilizatorul).
▪ Cazul când numele DNS din hyperlink este înlocuit de o cvadruplă adresă de IP.
▪ Numele DNS folosite sunt manipulate pentru a arăta la fel ca cele generale.
▪ Hyperlink -ul este codat în așa fel încât acesta devine foarte greu de citit.
▪ Cazul în care atunci când vizitarea hyperlink -ului cere detalii personale, precum numele
utilizatorului, parola, numărul de cont, etc.

Clasificarea tehnicilor de anti -phishing:
▪ Content Filtering (Filtrarea conținutului): acesta este filtrat în momentul în care intră în
cutia virtuală a victimei, folosind metode precum Bayesian Additive Regression Trees (BART)
sau Support Vector Machines (SVM).
▪ Black Listing (Crearea unei liste “ne gre”): reprezintă o colecție de site -uri și adrese
cunoscute și publicate de entități de încredere precum Google și Microsoft. Este nevoie de
componenta de client și de componenta de server. Componenta de client este implementată fie
în e-mail, fie într -un plug-in pentru browser, care interacționează cu componenta de server.

Mircea – Constanti n Rosmeteniuc

24

▪ Symptom -Based Prevention (Prevenția pe bază de simptome): aceasta analizează
conținutul fiecărei pagini web pe care utilizatorul o vizitează și generează alerte phishing în
concordanță cu tipul și numărul de simptome detectate.
▪ Domain Binding (Legarea dintre domenii): Este o tehnică bazată pe browser -ul
utilizatorului, în care informațiile confidențiale, precum nume și parole, sunt legate de un
anumit domeniu. Acesta avertizează utiliz atorul când vizitează un domeniu la care nu este legat.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

25

CAPITOLUL 4
Implementarea aplicației
4.1 Interfata aplicatiei

Aplicația creată pe baza datelor prezentate la capitolele anteriore, și respectând solutiile de
prevenire a atacurilor, am ajuns la pr ezentarea unui produs omogen care atinge toate obiectivele
pe care mi le -am propus.

Fig. 4.1. 1 Schema de principiu a funcționalității browser -ului

Mircea – Constanti n Rosmeteniuc

26

În ceea ce privește interfaț a se poate observa ușor după deschiderea aplicației că aceasta conține
eleme ntele principale găsite într -un browser obiș nuit.

Fereasta conț ine 5 butoane importante:
✓ Previous: buton folosit pentru a naviga la pagina web accesată anterior;
✓ Forward: buton folosit pentru a naviga la pagina web accesată după cea curentă ;
✓ Stop: but on folosit pentru a opri navigarea aflat ă în curs de desfăș urare;
✓ Refresh: buton folosit pentru a reîncărca pagina pe care se află utilizatorul în momentul
respectiv ;
✓ GO: buton folosit pe ntru a da start navigării către o anumită pagină ;

Fig. 4.1.2 . Interfața browswe -ului.
După cum se poate observa și în imaginea de mai sus ( Fig. 4.1.2.) există un element de tip
textbox folosit pentru a introduce adresa web care se doreste a fi accesată. După apasarea
butonului GO, afișarea site -ului dorit este realiz ată cu ajutorul unui controler denumit
webBrowser. Acesta are capa bilitatea de a naviga, de a afișa documente și de downloada fisere
către aplicați e.

Butoanele descrise mai sus sunt realizate cu ajutorul unor funcții din cadrul secț iunii “Events ”
ce ține de webBrowser.
– webBrowser1.GoBack();
– webBrowser1.GoForward();
– webBrowser1.Stop();
– webBrowser1.Navigate(textBox1.Text.ToString());

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

27

Tot ce a fost creat în această aplicație cu scopul de protecție î mpotriva anumitor atacuri se va
observa pe par cursul utiliză rii browserului , afișând avertismente sau blocâ nd accesul catre
anumite pagini web.

Fig. 4.1.3 Accesarea unui site cu ajutorul browser -ului

4.2 Modulul de salvare credentiale

Primul modul a fost creat în aplicație cu scopul de a proteja utilizatorul împotriva anumitor
persoane ce pot fura indentitatea accesând calculatorul de pe care se navighează în mod direct.
Într-un rând, acest modul verifică constant ce pagini se accesează. Aplicația conține două
stringuri declarate global:
string[] parola = {"passwd","pass","password"};
string[] user = { "Email", "user", "username" };
Dacă id-urile de pe pagina web corespund cu aceste stringuri standard , atunci se știe în mod
cert că pagin a contine capuri de logare. După aceasta se verifică prin int ermediul functiei int okk
= verificare_site(textBox1.Text.ToString()); dacă utilizatorul s -a mai log at vreodată, cautând în fisierul
local după adresa accesata.

Fig. 4.2.1 Logarea pe un site din browser

Mircea – Constanti n Rosmeteniuc

28

Funcția returnează 0 dacă este prima oară când se vizitează site -ul și 1 dacă deja există salvate
credențialele. În primul caz se procedează în urmatorul fel: se folosește un event pe Click de
mouse împreună cu o condiție ce verifică elementul aflat sub cursor .
void Document_Click(object sender, HtmlElementEventArgs e)
if (element.GetAttribute("type").ToString() == "submit")
În acest mod se va ști exact când utilizatorul va apăsa butonul de tip submit aflat pe pagină.
Apoi se vor căuta cele două câmpuri (user – pass) și se va extrage informația d in ele, respectiv
userul si parola acestuia. Acestea vor fi scrise în fișierul local.

În cel de -al doilea caz , dacă credenț ialele pentru un anumit site există în fișierul aplicației, se
vor căuta pe pagină câmpurile respective ș i vor fi completate cu info rmațiile necesare. Această
procedură existând în funcț ia void completare_credentiale().

În ambele situaț ii prezentate mai sus , fișierul accesat pentru scriere și citire va fi criptat și
decriptat doar când este nevoie folosind funcț iile:
static void Encr yptFile(string sInputFilename, string sOutputFilename, string sKey) ;
static void DecryptFile(string sInputFilename, string sOutputFilename, string sKey) ;
Acestea funcționează pe baza cheii generate de către funcț ia:
static string GenerateKey() ;
Se poat e spune în această situație că a fost î nlocuit modulul standard de salvare cook ies a
browserelor existente. Fișierul creat și criptat nu poate fi citit decât de că tre utilizatorul
proprietar datorită cheii unice de criptare care poate fi îndepărtată de cal culator ul folosit ș i care
poate avea un PIN setat.

4.3 Injectare SQL

Cel de -al doile a modul implementat, din aplicația în cauză are î n vedere prevenirea atacurilor
de tip injectare SQL. Se va verifica constant de către browser atunci câ nd se int roduce u n link
nou sau atunci când se introduc parole în câ mpur ile de tip ‘password’ .

Fig. 4. 3.1 Injectare SQL

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

29

Dacă se găsesc stringuri ce conțin interogă ri SQL , atunci se va restricț iona accesul utilizatorului
anunțâ ndu-l printr -o pagina web customizată î n aplicație și transmisă î n controlul webBrowser.
Fig. 4.3.2 Mesaj alertă pentru atac SQL

Această verificare se face utilizâ nd un vector de s tringuri declarat global ce conține interogările
des folosite de că tre atacatori.
string[] atacsql = { "DELETE *" , "DELETE", "SELECT *, DROP TABLE"… };

4.4 Modulul anti -phishing

Unul dintre cel mai i mportante module îl reprezintă cel de anti -phishing. În aplicația realizată ,
acest modul este format din două părț i. O parte care face verificări la nivel de pagină și o parte
care face verifică ri la nivel de linkuri introduse.

În ceea ce priveș te prima parte , am urmărit verificarea paginilor web și a mailurilor ce pot
conține linkuri masca te. Linkurile mascate reprezintă acele linkuri care sunt văzute într -un
anumi t fel de că tre utilizator , dar în spate redirecționează către altă adresă , foarte probabil pe
un site unde se va fura indentitatea persoanei.

În continuare , a doua parte ce defineș te anti -pishingul din aplicaț ie, reprezintă scanarea
constantă de linkuri introduse în browser înainte de navigare. Această scanar e se face cu
ajutorul unei funcții ce trimite request către un motor/cloud. Acesta va răspunde printr -un string
dacă site-ul respectiv este considerat u n periocol sau se poate naviga în siguranță pe el.

Mircea – Constanti n Rosmeteniuc

30

Dacă este considerat un pericol , atunci navigarea se oprește, utilizatorul va fi anunțat că pagina
web nu este sigura și apoi va fi trimis către o zonă sigură .
Fig. 4. 4.1 Mesaj alertă pentru atac de tip phishing

Tot ce salvează acest browser reprez intă userii și parolele folosite pentru auto -complete pe
paginile de logare ale anumitor site -uri. Acestea se salvează într -un fișier denumit ”parole” ce
este criptat. În rest, tot ce este stocat în memorie sau local în folderul “Temporary” va fi șters
după ieșirea din aplicație. Pentru rularea aplicației, nu trebuie decât ca utilizatorul să aibă
instalat .NET Framework 4.5 și nici nu sunt necesare resurse hardware speciale.

4.5 Dosarul electronic al pacientului

În această etapă a proiectului am dezvoltat o platformă pentru înregistrarea pacienților în baza
de date a spitalului sau a clinicii medicale care utilizează acest browser securizat. În pagina
principală a browser -ului va fi lansata pagina de înregistrare pe această platformă.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

31

Fig. 4.5.1 Pagi na de pornire a site -ului

În colțul din dreapta se gasesc cele două opțiuni pentru accesarea platformei: logare, pentru
utilizatorii care sunt deja înregistrați pe platformă; și înregistrare.

Fig. 4.5.2 Formularul de înregistrare

Toate câmp urile din acest formular sunt obligatorii. Dacă un câmp rămâne necompletat, va
apărea un mesaj de eroare în care se solicită completarea tuturor câmpurilor din formular.

Mircea – Constanti n Rosmeteniuc

32

Fig. 4.5.3 Mesaj de eroare în cazul necompletării câmpurilor obligatorii

După compl etarea tuturor datelor obligatorii necesare înregistrării, se afișează mesajul de confirmare.
Fig. 4.5. 4 Mesaj de confirmare în urma logării

Prin modificarea valorii, în baza de date phpMyAdmin, a câmpului “is_admin ”, din 0 în 1, user –
ul care va avea at ribuită valoarea 1, va fi administratorul acestei baze de date. Pot exista mai
mulți administratori, în funcție de situație. Adminii pot vedea întreaga listă de pacienți și pot
edita profilul fiecărui pacient. De asemenea, a ceștia au posibilitatea de a adă uga afecțiunile
specifice fiecărui pacient și pot genera chiar și un pdf -uri, pentru a -l putea printa pentru pacienți
sau pentru alte situații .
Fig. 4.5.5 Lista pacienților înscriși pe platformă

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

33

Fig. 4.5.6 Vizualizarea profilului pacientului și adaug area de afecțiuni
După ce toate datele sunt completate și înregistrate în baza de date, prin apăsarea butonului
“Generează PDF ” , se poate genera un pdf care va fi salvat local și care va conține toate datele
din soft ale pacientului. Această fișă poate fi dată pacientului sau transmisă la alți doctori, în
funcție de situație.
Fig. 4.5.7 Fișa pacientului în format pdf

Mircea – Constanti n Rosmeteniuc

34

Atât doctorii, cât și pacienții, pot modifica datele personale. De preferat ar fi ca pacienții sa nu
modifice singuri aceste date, pen tru siguranță, să nu șteargă din greșeală anumite înregistrări.

Fig. 4.5.7 Formular pentru modificarea datelor personale

În cazul în care pacientul dorește să vadă lista cu toți pacienții, acesta va primi un mesaj de
eroare, deoarece accesul lui către acea informație este restricționat.
Fig. 4.5.8 Mesaj de eroare

Această platformă se poate accesa de pe orice browser. De preferat ar fi să se acceseze de pe
browser -ul securizat pentru a elimina toate riscurile posibile în ceea ce privește atacurile
software, furtul de date cu caracter personal sau chiar infestarea calculatoarelor dintr -un spital.
Se previn astfel foarte multe riscuri la care este supus sitemul de sănătate.

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

35

Mircea – Constanti n Rosmeteniuc

36

CAPITOLUL 5
Concluzii

Prin această l ucrare am încercat să realizez un produs software de tip browser pentru navigarea
în siguranță pe internet în cadrul spitalelor și clinicilor, cu un nivel mai ridicat al securităț ii
acestuia. Am vizat acele atacuri existente la ora actuala care pot fi dest ul de usor de observat ș i
care, cu minime cunoștiinț e, ar putea fi evitate. Însă foart e multi utilizatori nu dau atenția
necesară acecstor mici detalii și nu realizează la ce riscuri este supup sistemul informatic
medical, și mai alse, viața persoanelor.

Acest browser va avea implementat un sistem de prevenire a atacurilor SQL , lucru ce e atât î n
favoarea utilizatorului , cât și î n favoarea tuturor , dacă browserul ar ajunge sa fie folosi t la o
scară mai mare. Astfel siteurile vulnerabile la astfel de atacu ri nu ar mai fi atacate , totul oprindu –
se din browser.

De asemenea , modulul integrat în aplicație ce înlocuieș te partea de cookies poate fi considerat
un plus față de browsere standard , deorece credentiale l utilizatorului sunt criptate î ntr-un fisier
local, cu ajutorul unei chei unice , prevenindu -se astf el accesul neautorizat la parole .

Realizarea acestei aplicații poate aduce beneficii considerente sistemului medical. Un plus de
protecție este întotdeauna bine venit și nu strică să fie prezent. Acest b rowser, împreună cu un
antivirus performant, pot lupta împotriva atacurilor informatice asupra sistemului medical.
Mulți nu realizează ce consecințe pot apărea dacă se fură informații din bazele de date sau dacă
există infiltrări în sistem.

Implementarea, accesarea și utilizarea dosarului electronic al pacientului prin acest browser,
crește siguranța și protecția datelor pacienților cu caracter personal. Dacă un asftel de sistem
este spart, sau se reușește să se pătrundă și să se fure aumite date, pacienți i vor fi foarte afectați
și vor fi pagube materiale și morale multe prea mari pentru a risca siguranța și integritatea
pacienților. Printr -o soluție atât de simplă se pot evita foarte multe neplăceri și daune.

Așa cum medicii oferă siguranță vieții unui p acient, așa și programatorii responsabili pentru
securitatea informațiilor trebuie sa asigure protecția și siguranța sistemului informațional
medical prin metode accesibile, ușor de implementat și utilizat și greu de distrus pentru hackeri .

Protecția împotriva atacurilor informatice pentru navigarea pe Internet în spitale

37

Mircea – Constanti n Rosmeteniuc

38

Bibliografie

1. Bose and A. C. M. Leung, "Unveiling the mask of phishing: Threats, preventive measures,
and responsibilities," communications of the Association for Information Systems, vol. 19, pp.
544-566, 2007.
2. L. Wenyin, G. Huang, L. Xiaoyue, Z. Min, and X. Deng, “D etection of phishing webpages
based on visual similarity.”
3. Securitatea in mediul internet [prof. Cezar A., Ed. Tehnica 2008]
4. Introducere in criptografie [prof. univ. dr. Constantin Popescu, Universitatea Tehnica
Oradea, 2009]
5. Tehnologii de securitatea al ternative pentru aplicații în rețea [Universitatea Tehnica din Cluj
Napoca, Mircea F. V,2009]
6. Gaurav, Madhuresh Mishra, Anurag Jain / International Journal of Engineering Research and
Applications (IJERA) ISSN: 2248 -9622 www.ijera.com Vol. 2, Issue 2,Mar -Apr 2012, pp.350 -355
(http://www.ijera.com/papers/Vol2_issue2/BG22350355.pdf )
7. World of Computer Science and Information Technology Journal (WCSIT) ISSN: 2221 –
0741 Vol. 1, No. 7, 289 -291, 2011 (http://arxiv.org/ftp/arxiv/papers/1110/1110.0360.pdf )
8. http://www.securitatea -informatiilor.ro
9. http://www.criminalitatea -informatica.ro
10. http://press.pandasecurity.com
11. http://stst.elia.pub.ro/news/RCI…/ Zamfir Narcis/CIFR.doc
12. https://ro.scribd.com/doc/102924589/Bazele -Informaticii -Virusi -Si-Antivirusi
13. http://pclaptop.ro/tipuri -de-virusi -informatici/
14.http://www.securitatea -informatiilor.ro/tipuri -de-atacuri -informatice/analiza -virusilor –
informatici/
15. http://www.competentedi gitale.ro/it/it_virusi.php
16. http://fixmypc.ro/devirusare -calculator -solutii -de-prevenire -pentru -ransomware –
cryptolocker/
17. http://faravirus.ro/ransomware/
18. https://www.webroot.com/us/en/home/resources/tips/pc -security/security -what -is-anti-
virus-software
19. http://searchsecurity.techtarget.com/tip/How -antivirus -software -works -Virus -detection –
techniques