Professional Documents
Culture Documents
Domeniul este din ce în ce mai important, datorită dependenței din ce în ce mai mari a
oamenilor de sistemele informatice și de Internet, de rețelele fără fir (precum Bluetooth și
Wi-Fi) si a cresterii numarului dispozitivelor "inteligente", inclusiv smartphone-uri, televizoare
și dispozitive minore din Internetul Obiectelor.
Securitatea retelelor
Fiind un domeniu complex, au fost create diviziuni, pentru a putea face administrarea mai facilă
si a permite profesionistilor o abordare mai precisă în privinţa instruirii, cercetării şi muncii în
acest domeniu.
Sunt 12 domenii ale securităţii reţelelor (specificate de International Organization for
Standardization - ISO/International Electrotechnical Commission - IEC):
Vulnerabilități și atacuri
O vulnerabilitate exploatabilă este una pentru care există cel puțin un atac de lucru sau
"exploatare" . Vulnerabilitățile sunt adesea vânate sau exploatate cu ajutorul instrumentelor
automate sau manual folosind scripturi personalizate.
Pentru a asigura un sistem informatic, este important să înțelegeți atacurile care pot fi făcute
împotriva sa, iar aceste amenințări pot fi în mod obișnuit clasificate în una din următoarele
categorii:
Backdoor
O backdoor intr-un sistem de calcul, un criptosistem sau intr-un algoritm reprezinra orice
metodă secretă de ocolire a autentificării normale sau a controalelor de securitate.
Acesta se poate datora mai multor motive, inclusiv de proiectare originala sau din cauza
unor slabiciuni de configurație.
Este posibil ca acestea să fi fost adăugate de o parte autorizată, pentru a permite un acces
legitim, sau de către un atacator, cu intentii dăunătoare.
Indiferent de motivele existenței lor, ele creează o vulnerabilitate.
O backdoor poate lua forma unei părți ascunse a unui program pe care îl folosim, poate fi un
program separat, un cod în firmware-ul unui dispozitiv hardware, sau parti dintr-un sistem de
operare, cum ar fi Microsoft Windows.
Deși în mod obișnuit sunt instalate pe ascuns, în unele cazuri un backdoor este deliberat
facut cunoscut pe scară largă. Aceste tipuri de backdoors pot avea utilizări "legitime", cum ar
fi furnizarea de către producător unui mod de a restaura parolele utilizatorilor.
Parolele prestabilite (sau alte identificari implicite) pot funcționa ca backdoors dacă nu sunt
modificate de utilizator. Unele facilitati de depanare pot acționa și ca backdoors dacă nu sunt
eliminate în versiunea de lansare.
Exemple:
Altele, cum ar fi rootkit-ul Sony / BMG, plasat în secret pe milioane de CD-uri muzicale până
la sfârșitul lui 2005, sunt destinate măsurilor DRM. In acest caz, doua programe secrete
actionau ca agenți de colectare a datelor, ambele transmitandu-le unor servere centrale.
În ianuarie 2014, a fost descoperită o backdoor în anumite produse Samsung Android, cum
ar fi dispozitivele Galaxy. Versiunile Android deținute de Samsung sunt echipate cu o
backdoor care oferă acces de la distanță la datele stocate pe dispozitiv. Software-ul
Samsung Android, care se ocupă de gestionarea comunicațiilor cu modemul, folosind
protocolul Samsung IPC, implementează o clasă de cereri cunoscute sub denumirea de
comenzi de server de fișiere la distanță (RFS), care permit operatorului de backdoor să
efectueze operații operațiuni I / O pe hard diskul dispozitivului sau pe alt spațiu de stocare
prin intermediul modemului. Deoarece modemul rulează software-ul Samsung proprietate
Android, este probabil că acesta oferă o telecomandă care poate fi utilizată pentru a emite
comenzile RFS și, astfel, pentru a accesa sistemul de fișiere sistem de pe dispozitiv.
Backdoors in cod obiect - modificarea codului obiect e mult mai greu de detectat, fata de
codul sursa (el este citit de masina, nu de om).
Anumite backdoors pot fi inserate direct în codul obiect de pe disc sau la un moment dat, în
timpul compilării, asamblării sau încărcării (în ultimul caz backdoor-ul nu apare niciodată pe
disc, ci numai în memorie).
Un backdoor obiect e greu de detectat prin inspecția codului obiect, dar ușor de detectat
prin simpla verificare a modificărilor (diferențelor), în special în lungime sau în suma de
control. În plus, backdoor-ul codului de obiect poate fi eliminat (presupunând că există un
cod sursă) prin simpla recompilare din sursă.
Astfel, pentru a evita detectarea, object backdoors trebuie sa ascunda toate copiile binare
existente, sa compromita orice sumă de verificare a validarii, iar sursa trebuie să fie
indisponibilă pentru a preveni recompilarea.
Un astfel de atac a fost semnalat in laboratoarele Sophos (august 2009): virusul W32 /
Induc-A a infectat compilatorul de programe pentru limbajul de programare Delphi. Virusul
și-a introdus propriul cod la compilarea de noile programe Delphi, permițându-i să infecteze
și să se răspândească în mai multe sisteme, fără cunoașterea programatorului software.
Un astfel de atac, care se propagă prin construirea propriului cal troian, este deosebit de
greu de descoperit. Se crede că virusul Induc-A s-a propagat timp de cel puțin un an înainte
de a fi descoperit.
Atacuri analogice pot viza niveluri mai scăzute ale sistemului, cum ar fi sistemul de operare,
și pot fi inserate în timpul procesului de boot al sistemului, iar acum există sub forma virușilor
din sectorul de boot.
O backdoor asimetrica poate fi folosita numai de către atacatorul care o plantează, chiar
dacă implementarea completă a backdoor-ului devine publică. Această clasă de atacuri a
fost numită kleptografie si pot fi efectuate în software, hardware (de exemplu, smartcard-
uri) sau o combinație a celor două.
Teoria backdoors asimetrice face parte dintr-un câmp mai larg de cercetare denumit
criptovirologie. De exemplu, NSA a introdus o backdoor kleptografică în standardul
Dual_EC_DRBG.
Backdoors cunoscute
Back Orifice a fost creat în 1998 de către hackerii din grupul Cult of the Dead Cow, ca un
instrument de administrare la distanță. A permis ca sistemele Windows să fie controlate de
la distanță printr-o rețea, exploatand asemănarea cu Microsoft BackOffice.
Versiunile Borland Interbase de la 4.0 până la 6.0 au avut o backdoor puternica, pusă
acolo de către dezvoltatori. Codul serverului conține un cont de backdoor compilat
(username: politically, password: correct), care poate fi accesat printr-o conexiune de rețea;
un utilizator care se loghează cu acest cont de backdoor ar putea prelua controlul asupra
tuturor bazelor de date Interbase. Backdoor-ul a fost detectat în 2001 și eliminiat printr-un
patch.
Atacatorii fie pot refuza serviciul victimelor individuale, cum ar fi prin introducerea deliberată
a unei parole greșite consecutiv, de suficient de multe ori pentru a provoca blocarea contului
victimelor, fie poate supraîncărca capabilitățile unei mașini sau rețele, blocând dintr-o dată
toți utilizatorii (de exemplu, invazia cu o multime de cereri inutile).
Atacul in rețea provenind de la o singură adresă IP (sursa) poate fi blocat prin adăugarea
unei noi reguli de firewall.
Atacul DoS ce provine dintr-un număr mare de surse se numeste DDoS (Distributed Denial
of Service) si este mult mai dificil de contracarat.
Astfel de atacuri pot proveni preponderent de la computerele zombie sau de la botnet - uri,
însă sunt posibile si alte tehnici, cum sunt atacurile de reflecție și amplificare, în care
sistemele nevinovate sunt păcălite sa trimita traficul catre victima.
Un zombie este un computer conectat la Internet, care a fost compromis de un hacker, un virus de
calculator sau un program cal troian, pentru a fi folosit sa efectueze la distanta sarcini malitioase.
Computerelor zombie sun utilizate pentru a distribui mesajele spam prin e-mail (in 2005, aproximativ
50-80% din spam a fost trimis astfel), pentru a raspandi astfel virusi troieni (acestia nu se pot auto-
replica), pentru fraude pe site-uri de publicitate cu plata pe click, pentru phishing sau furturi de bani in
tranzactii on-line.
Atacurile DoS/DDoS vizează frecvent site-uri sau servicii găzduite pe servere web de înaltă
calitate (ex: bănci, gateway-uri de plată cu carduri)
Atacul DDoS al nivelului de aplicație (uneori denumit atac layer 7 DdoS) nu vizeaza
intreaga retea, ci numai nivelul aplicație din modelului OSI, urmarind ca anumite funcții sau
caracteristici ale unui site web sa fie dezactivate. Este adesea folosit împotriva instituțiilor
financiare pentru a produce încălcări de securitate si întreruperea tranzacțiilor și a accesului
la bazele de date.
Acest tip de atac poate perturba servicii cum ar fi recuperarea informațiilor sau funcția de
căutare, precum și funcția de browser web, servicii de e-mail și aplicații foto.
În anul 2013, atacurile DDoS la nivel de aplicație reprezintă 20% din toate atacurile DdoS.
APDoS implică atacuri masive DDoS pe mai multe niveluri ale rețelei, urmate de atacuri
concentrate pe nivelul de aplicații (HTTP), urmate de atacuri repetate SQLi și XSS.
Atacatorii pot folosi simultan de la 2 la 5 vectori de atac care implică până la câteva zeci de
milioane de solicitări pe secundă, Atacurile pot persista câteva săptămâni - cea mai lungă
perioadă continuă înregistrată a durat 38 de zile. Acest atac APDoS a implicat aproximativ
50 de petabiți (50.000 + terabiți) de trafic rău intenționat.
Atacatorii din acest scenariu pot schimba tactic între mai multe ținte, pentru a crea o
deturnare si a evita contramăsurile defensive DDoS, dar tot timpul concentrarea principală a
atacului se face asupra unei singure victime.
Atacurile APDoS sunt caracterizate de: recunoastere avansata, executie tactica (cu victime
primare si secundar, focusat pe cele primare), motivatie explicita (obiectiv final calculat), o
mare capacitate de calcul, atacuri simultane pe straturile OSI 3-7, persistenta in timp
Simptomele principale ale unui atac de refuz al serviciului (identificate de United States
Computer Emergency Readiness Team US-CERT):
- performanțe neobișnuit de lente ale rețelei (deschiderea fișierelor sau accesarea site-
urilor Web)
- indisponibilitatea unui anumit site web
- incapacitatea de a accesa orice site web
- o creștere dramatică a numărului de e-mail-uri spam primite (acest tip de atac DoS
este considerat o bomba de e-mail).
În cazul în care atacul este efectuat la o scară suficient de mare, întreaga regiune geografică
a conectivității la Internet poate fi compromisă, fără cunoștinta sau intenția atacatorului,
datorita echipamentului de infrastructură de rețea incorect configurat sau slab.
Tehnici de atac
În alte cazuri, o mașină poate deveni parte a unui atac DDoS cu acordul proprietarului (ex:
operațiunea Payback, organizată de grupul Anonymous
Alte tipuri de DoS provoaca congestia prin forța bruta, inundând ținta cu un flux copleșitor de
pachete (prin intermediul unui botnet), depășind lățimea de bandă a conexiunii sau epuizând
resursele de sistem ale victimei.
Un "atac banana" este un tip particular de congestie DoS, care implică redirecționarea
mesajelor de ieșire de la client inapoi catre acesta, provocand saturarea clientului cu
propriile pachete. (ex: atacul LAND)
O versiune de atac DoS la nivel de aplicație este XDoS (sau XML DoS), care poate fi
controlat de aplicațiile web firewall moderne (WAF).
Atacurile de degradare a serviciului sunt provocate de zombiile "Pulsing", computere
compromise care lanseaza inundații intermitente și de scurtă durată asupra site-urilor
victimelor, cu intenția de a le încetini, mai degrabă decât să le prăbușească ( "degradare-
serviciu" mai degrabă decât "blocare a serviciului").
Ele sunt mai dificil de detectat decât invazia zombie obișnuită, pentru ca e greu de evaluat
daca perturbatia serverul este provocata de fluctuatiile traficului normal sau de un astfel de
atac.
Atacul DoS/ DDoS Level 2 are scopul de a provoca lansarea unui mecanism de apărare
care blochează segmentul de rețea din care provine atacul. În cazul atacului distribuit sau a
modificării antetului IP, acesta va bloca total rețeaua de pe Internet atacată.
Un atac distribuit de Denial-of-Service (DDoS) apare atunci când mai multe sisteme
genereaza trafic care inundă lățimea de bandă sau resursele unui sistem vizat, de obicei
unul sau mai multe servere web. Sursa atacului este adesea un botnet. Atacul provoaca in
final un crash complet al site-ului victima.
Mecanismele de atac DdoS pot fi incluse in malware, intr-un troian (care permite atacatorului
sa descarce un agent zombie in sistem) sau in agenti care ruleaza o rutina automată pentru
a exploata vulnerabilitățile în programele care acceptă conexiuni la distanță pe serverele
gazda.
In ultimul timp s-au semnalat atacuri DdoS in Internet of Things. Într-un astfel de atac, s-au
primit aproximativ 20.000 de solicitări pe secundă, care proveneau din aproximativ 900 de
camere CCTV.
Atacul HTTP POST DoS trimite un antet HTTP POST legitim, care include câmpul "Content-
Length", pentru specificarea mărimii corpului mesajului ce urmeaza a fi trimis. Atacatorul
continuă si trimite corpul mesajului într-o rată extrem de lentă (ex: 1 byte/110 sec).
Datorită faptului că mesajul este corect și complet, serverul țintă va aștepta transmiterea
integrala a acestuia, ceea ce poate dura foarte mult timp. Atacatorul stabilește sute sau chiar
mii de astfel de conexiuni, până când toate resursele pentru conexiunile de intrare de pe
serverul victima sunt epuizate, făcând astfel imposibile alte conexiuni (inclusiv legitime).
Spre deosebire de alte atacuri (D)DoS, care încearcă săblocheze serverul prin
suprasolicitarea rețelei sau a CPU-ului, un atac HTTP POST vizează resursele logice ale
victimei.
Atacurile HTTP POST sunt dificil de diferențiat de conexiunile legitime și, prin urmare, sunt
capabile să evite anumite sisteme de protecție.
Atacurile ICMP (Internet Control Messages Protocol) sunt de mai multe feluri:
Permanent denial-of-service (PDoS) este un atac care dăunează unui sistem atât de rău,
încât necesită înlocuirea sau reinstalarea hardware-ului.
Prin urmare, dispozitivul "ingheata", devenind inutilizabil pana cand acesta va fi reparat sau
inlocuit.
Atacul reflectat /falsificat (DRDoS) implica trimiterea unor cereri falsificate de un anumit tip
unui număr foarte mare de computere, care le vor răspandi, la randul lor. Folosind
falsificarea adresei IP, adresa sursă este setată la adresa victimei vizate, ceea ce înseamnă
că toate răspunsurile vor merge la aceasta, blocand-o.
Atacurile prin amplificare sunt folosite pentru a mări lățimea de bandă prin care se trimite
victimei. Aceasta se face prin intermediul unor servere DNS accesibile publicului, care sunt
utilizate pentru a provoca congestia sistemelor tinta folosind traficul de răspuns DNS.
Apararea împotriva acestor tipuri de atacuri este foarte dificila, deoarece datele de răspuns
provin de la serverele legitime iar solicitările de atac sunt trimise prin UDP, care nu necesită
o conexiune la server (IP-ul sursă nu este verificat când este primită o solicitare)
Atacul RUDY (R-U-Dead Yet?) vizează aplicațiile web prin stoparea sesiunilor disponibile pe
serverul web. RUDY ține sesiunile oprite utilizând transmisii POST care nu se termină și
trimitand valori arbitrare de lungime a conținutului mesajelor.
Atacul scut (shrew) este un DoS asupra protocolului TCP. Utilizează explozii scurte
sincronizate de trafic pentru a întrerupe conexiunile TCP pe același link, exploatând o
slăbiciune a mecanismului timeout al retransmisiei TCP.
Un atac de citire lentă (Slow Read) trimite solicitări legitime pe nivelul de aplicație, dar
citește răspunsurile foarte încet, încercând astfel să blocheze conexiunile serverului.
Aceasta se realizează prin alocarea unei dimensiuni foarte mici a ferestrei de primire TCP și
- în același timp - golirea lenta a tamponului de primire TCP al clienților, ceea ce determină
scaderea dramatica a debitului de date.
Atacul sophisticated low-bandwidth DDoS utilizează mai puțin trafic, dar mărește
eficacitatea acestuia prin trimiterea de cereri complicate către sistem.
TDoS permite aplicarea unor scheme frauduloase (ex: escrocul contactează bancherul sau
brokerul victimei, solicitand un transfer de fonduri. Contactarea victimei pentru verificarea
transferului eșuează deoarece liniile telefonice ale acesteia sunt inundate cu mii de apeluri
false)
Refuz al serviciului de telefonie poate exista chiar și fără telefonie prin Internet. Prin
ocuparea continuă a liniilor cu apeluri automate repetate, victima este împiedicată să
efectueze sau să primească atât apeluri de rutină, cât și de urgență. Pot fi trimise astfel si
SMS-uri sau fax-uri. Publicarea pe scară largă a unui număr poate, de asemenea, să-l
inunde cu suficiente apeluri pentru al face inutilizabil.
Indicatori Key Completion pe nivelul aplicatie, utilizati pentru a raspunde atacurilor DDoS
bazate pe cloud. Se bazează pe monitorizarea progresulului cererilor pe o anumita cale, prin
intermediul unor markeri denumiti indicatori cheie de finalizare.
Blackholing și sinkholing
În cazul blackholing, tot traficul spre adresa DNS sau IP atacata este trimis la o "gaură
neagră" (interfață nulă sau un server inexistent). Pentru a evita afectarea conectivității
rețelei, serviciul poate fi gestionat de ISP.
Tehnica sinkholing dirijeaza datele de la adresa DNS către o adresă IP valabilă, care
analizează traficul și respinge pachetele greșite.
Preventia bazată pe IPS (Intrusion Prevention Systems) este eficienta dacă atacurile au
semnături asociate cu acestea. Sistemele de prevenire a intruziunilor care lucrează la
recunoașterea conținutului nu pot bloca atacurile DoS, iar tendința pentru atacuri este de a
avea conținut legitim, dar intenții rauvoitoare.
Un IPS bazat pe circuite ASIC poate detecta și bloca atacurile DoS, deoarece acestea au
puterea de procesare mare si pot acționa ca un întrerupător automat.
Un IPS bazat pe rate de transfer (RBIPS) analizeza traficul, monitorizând în mod granular și
continuu modelul de trafic și decide dacă există o anomalie a acestuia. In timp ce se
blochează traficul de atac al DoS, luxul legitim de trafic este mentinut.
Un sistem de aparare DoS (DoS Defense System - DDS) este mai eficient decat IPS,
deoarece poate bloca atat atacurile DoS bazate pe conexiune, cat și pe cele cu conținut
legitim, dar intentii rauvoitoare.
Un firewall poate bloca atacuri simple, prin adaugarea unor reguli simple de negare a intreg
traficului primit de la atacatori, bazat pe protocoale, porturi sau adrese IP originare. Atacurile
complexe sunt insa dificil de evitat prin astfel de reguli.
Routerele (similar si switch-urile) dispun de capacitati limitate de rezistenta la atacuri DoS.
Totusi, unele (ex: Cisco IOS) au caracteristici opționale care pot reduce impactul ofensivelor
de trafic.
Tehnica upstream filtering (filtrarea în amonte) presupune ca tot traficul sa fie trecut
printr-un "centru de curățare/spalare" prin diferite metode, cum ar fi proxy-uri, tuneluri,
conexiuni digitale sau chiar circuite directe care separă traficul rău catre server (DDoS și alte
atacuri comune pe Internet).
Ascultarea clandestina
Reprezinta actul interceptarii ascunse a unei conversații private, de regulă între gazde în
rețea, practicata in special in retelele de telecomunicatii (telefonie, e-mail, VoIP etc.).
Chiar și mașinile care funcționează ca un sistem închis (adică, fără contact cu lumea
exterioară) pot fi ascultate prin monitorizarea emisiilor electromagnetice slabe generate de
hardware (ex: TEMPEST este o specificație a ANS referitoare la aceste atacuri).
Imitatia (Spoofing)
Un atac spootfing este acea situatie in care o persoana sau un program mascheaza anumite
entitati informatice prin falsificarea datelor (ex:o adresă IP sau un nume de utilizator), pentru a
avea acces la informații sau la resurse pe care altfel nu le putea obține.
Tipuri de falsificare:
- prin e-mail – atacatorul falsifică adresa de expediție a unui e-mail;
- prin adresa IP – atacatorul modifică adresa IP sursa a unui pachet de date, penntru
a-și ascunde identitatea;
- prin adresa MAC – atacatorul modifica adresa Media Access Control (MAC) a
interfeței sale la rețea, apărând ca un utilizator valid;
- biometric – atacatorul produce un eșantion biometric fals pentru a reprezenta un alt
utilizator.
Imixtiunea (Tampering)
Consta în modificarea malițioasă a unor produse. De exemplu, atacurile Evil Maid alterează
serviciile de securitate ale routerelor.
Reprezintă situația în care un atacator cu un anumit nivel de acces (restrâns) devine capabil
să-și extindă privilegiile fără autorizație (prin creșterea nivelului de acces)
Phishing
Clickjaking
Este cunoscut sub numele de atac la interfața utilizator sau hijaking și reprezintă o tehnică
malițioasă de deturnare a comenzilor afișate în interfețele GUI sau de modificare a
hyperlink-urilor generate de acestea, determinându-l pe utilizator sa facă click pe un alt
buton decât cel ales de el și ducându-l astfel la o alta pagina web decat cea dorită.
Similar, tehnica hijaking poate fi utilizată pentru atcuri de la tastatură. O combinație de
atacurile de la tastatură. O combinație înșelătoare de foi de stil, cadre, butoane și casete de
text țl face pe utilizator să creadă că introduce parole sau alte informații pe o pagină web
autentică, când de fapt a fost canalizat către una controlată de atacator.
Ingineria socială
Reprezintă un ansamblu de practici de manipulare psihologică în scopuri infracționale
(escrocherie). Exploatarea slăbiciunilor psihologice (încrederea, ignoranța, credulitatea),
sociale sau organizaționale urmărește obținerea unor bunuri, servicii, sau a accesului fizic la
informații confidențiale.
Măsuri ale organizațiilor pentru reducerea riscurilor de securitate prin inginerie sociale:
Corporațiile – în special cele care gestioneaza cărți de credit sau stochează volume mari
de date ale clienților. Spionajul comercial și industrial. Atacurile cibernetice sau spionajele
interstatale. Rețelele sociale mondiale (ex: Twitter, Facebook).
Industria automobilistică – automobilul computerizat, sistemele de asistență pentru șoferi,
automobilul autonom, controlul traficului auto, rețelele de comunicație wifi si bluetooth între
actorii din trafic.
Protecția calculatoarelor
Securitatea prin proiectare (design) – este o metodă a ingineriei software care vizează ca,
prin proiectare, programul să aibă asigurată o securitate maximă.
Tehnicile utilizate în această abordare includ :
- principiul celor mai putine privilegii (fiecare parte a sistemului are doar privilegii
necesare funcției sale);
- teoreme automate, pentru demonstrarea corectitudinii subsistemelor software
esențiale;
- revizuirea codurilor și testarea unităților, pentru a obține module mai sigure atunci
când aplicarea teoremelor o cere;
- apărarea în adâncime, designul este astfel conceput încât, pentru a compromite
integritatea sistemului, trebuie atacat mai mult de un subsistem;
- setări securizate prestabilite, prin proiectarea pentru a funcționa cu defect in
siguranta, mai degrabă decât pentru defect în nesiguranță (a se vedea eșecul pentru
echivalent în ingineria siguranței). În mod ideal, un sistem securizat ar trebui să
necesite o decizie deliberată, conștientă, informată și liberă din partea autorităților
legitime, pentru a-l face pe acesta nesigur.
- traseele auditul care urmăresc activitatea sistemului, astfel încât atunci când apare o
încălcare a securității, se poate determina mecanismul și amploarea încălcării.
- dezvăluirea completă a tuturor vulnerabilităților, pentru a se asigura că "fereastra de
vulnerabilitate" este menținută cât mai îngustă posibil.
Arhitectura de securitate IT – reguli unificate de proiectare care descriu modul în care sunt
aplicate controalele de securitate (contramăsuri de securitate) în funcție de necesitățile și
potențialele riscuri implicate într-un anumit scenariu și modul în care acestea se raportează
la arhitectura generală a sistemului.
Controalele au scopul de a menține atributele de calitate ale sistemului: confidențialitate,
integritate, disponibilitate, responsabilitate și servicii de asigurare
Atributele cheie ale arhitecturii de securitate sunt:
- relațiile între componente și modul în care acestea depind una de cealaltă;
- determinarea controalelor pe baza evaluării riscurilor, a bunelor practici, a finanțelor
și a aspectelor juridice;
- standardizarea controalelor.
Măsuri de securitate
Starea de securitate a calculatorului este un ideal conceptual, ce poate fi atins prin utilizarea
a trei procese: prevenirea, detectarea și răspunsul la amenințări.
Aceste procese se bazează pe mai multe politici și componente ale sistemului, printre care:
- conturi de acces utilizator și criptografia pot protejarea fișierele de sistem și –
respectiv – a datelor;
- firewall-urile (hard sau soft), sunt cele mai comune sisteme de prevenire pentru
securitatea rețelelor.Configurate corect, protejează accesul la serviciile de rețea
interne și blochează anumite tipuri de atacuri prin filtrarea pachetelor;
- programele de detecție a intruziunilor (Intrusion Detection Systems - IDS) detectează
atacurile de rețea în curs de desfășurare și asistă cercetarea criminalistică post-atac,
în timp ce traseele de audit și jurnalele îndeplinesc funcții similare pentru sistemele
individuale.
Vulnerabilitățile necunoscute (numite zero day) - pot fi găsite cu un soft de testare automat
numit fuzz test.
Sisteme de operare securizate – ale căror cerințe sunt specificate în standarde (Orange
Book – USA, ISO / IEC 15408). Ex: Integrity-178B, utilizat la Airbus A380 și mai multe
avioane militare.
Utilizarea ACL-urilor pentru a restrânge accesul la programe s-a dovedit nesigură în unele
situații (confused deputy problem - computerul gazdă este înșelat să permită în mod indirect
accesul la fișiere restricționate).
Capabilitățile rezolvă problema, pot fi integrate și la nivel de limbaj (ex: E-language, un
proiect open source), dar ele sunt utilizate restrâns. Sistemele de operare comerciale încă
utilizează ACL-uri.
Cele mai sigure computere sunt cele care nu sunt conectate la Internet și sunt protejate de
orice interferență. În lumea reală, cele mai sigure sunt sistemele de operare în care
securitatea nu este un add-on.
Răspunsuri la violările de securitate
Numarul atacurilor este atat de mare incat organizatiile nu isi pot petrece timpul urmarind
fiecare atacator. Majoritatea acestor atacuri sunt făcute de scanere automate de
vulnerabilitate și viermi de calculator.
Access control
Anti-keyloggers
Anti-malware
Anti-spyware
Anti-subversion software
Anti-tamper software
Antivirus software
Cryptographic software
Computer-aided dispatch (CAD)
Firewall
Intrusion detection system (IDS)
Intrusion prevention system (IPS)
Log management software
Records management
Sandbox
Security information management
SIEM
Anti-theft
Parental control
Software and operating system updating
Rome Laboratory
În 1994, au fost efectuate de către crackeri necunoscuți peste o sută de intruziuni în Rome
Laboratory, principala unitate de comandă și cercetare a Forțelor Aeriene ale SUA. Utilizând
cai troieni, hackerii au reușit să obțină acces nelimitat la sistemele din rețea și să elimine
urmele activităților lor.
Atacul Stuxnet
Viermele de calculator Stuxnet, a ruinat aproape o cincime din centralele nucleare ale
Iranului, prin întreruperea controlerelor PLC, printr-un atac orientat, probabil lansat de Israel
și Statele Unite.
În aprilie 2015, USA Office of Personnel Management a descoperit că în urma unei încălcări a
securității datelor veche de mai mult de un an i-au fost furate aproximativ 21,5 milioane de
înregistrări de personal administrate de birou. Datele vizate de încălcare au inclus informații
de identificare personală, cum ar fi numerele de securitate socială, numele, datele și locurile
de naștere, adresele și amprentele digitale ale actualilor și foștilor angajați guvernamentali.
Se crede că hack-ul a fost comis de hackeri chinezi, dar motivația rămâne neclară.