26
Cursul 6 – 7 Martie 2020
Adrian [email protected]
1
Amenințare, vulnerabilitate, risc
Amenințări întâlnite în prezent
◦ Factori naturali și condiții de mediu
◦ Incidente
Erori umane
Defecțiuni tehnice
Probleme ale software-ului
◦ Atacuri informatice și non-informatice
2
O amenințare (pericol) este o acțiune/situație care pericliteazăsecuritatea resurselor informaționale ale unei organizații, o cauzăpotențială a unui incident de securitate.
Vulnerabilitatea este o slăbiciune a resursei informaționale sau a măsurilor de securitate care o protejează. Vulnerabilitatea face posibil un mod nedorit de exploatare a resursei informaționale de către o amenințare specifică.
Riscul este consecința interacțiunii între resursele informaționaleși amenințări sau potențialul unei anumite amenințări de a exploata vulnerabilitățile unei resurse informaționale și de a-iprovoca prejudicii.
3
4
Organizațiile contemporane se confruntă cu pericole care le amenință averea cea mai de preț din prezent “informația”:◦ factori naturali și condiții de mediu care afectează
sistemele informatice
◦ incidente de diverse tipuri (erori umane, defecțiunitehnice, probleme ale software-ului)
◦ atacuri informatice și non-informatice
5
6
Cataclisme, dezastre naturale
Schimbări bruște în natură, provocate de dezlănțuireaunor fenomene ca: incendii inundații cutremure furtuni înghețuri etc.Aceste dezastre sunt greu de prevăzut și pot afectaechipamentele informatice și suporturile pe care suntstocate datele.
Condiții improprii de mediu
Umiditatea excesivă, temperaturile prea ridicate sauprea scăzute, praful din organizație pot duce, deasemenea, la defecțiuni ale echipamentelorinformatice și ale suporturilor de stocare.
Erori umane Greșelile angajaților care lucrează în sistemul informatic suntfrecvente, pot fi foarte periculoase pentru organizație șiconstau, de exemplu, în: pierderea laptop-urilor sau a suporturilor pe care se aflau
informații importante uitarea sau divulgarea neintenționată a elementelor de acces
la sistemul informatic al firmei parole neinspirate cești de cafea, pahare cu apă ștergeri de date introducerea de date eronate ne-actualizarea la timp a aplicațiilor informatice etc.Cauzele erorilor sunt diverse: necunoașterea modului de lucru alcalculatoarelor, entuziasmul excesiv, oboseala, indiferența etc.
Defecțiuni ale echipamentelor informatice
CD-uri, DVD-uri zgâriate, de pe care datele nu mai pot ficitite
hard disk-uri arse USB Stick-uri distruse
7
Erori ale sistemului de operare sau ale aplicațiilor informatice
Programele utilizate astăzi de organizații au dimensiuniimpresionante, fapt pentru care apar frecvent erori înfuncționarea lor. Folosirea programelor fără licență face caîmbunătățirile aduse acestora de realizatori să nu fie disponibilepentru utilizatori, iar organizația să fie expusă la infestarea cumalware (malicious software – software cu intenții maligne).
Defecte ale sistemului de alimentare cu energie electrică
Întreruperea curentului electric poate duce la pierderea datelornesalvate. Mai periculoase sunt fluctuațiile de tensiune – supra-tensiunile, de exemplu, pot avea ca efect arderea componentelorechipamentelor de calcul.
8
Neactualizarea la timp a aplicației antivirus
Defecțiuni ce afectează hard discul
USB stick-urile sau memoriile flash devinperisabile în timp
Neactualizărea la timp a sistemului de operaresau a altor aplicații
9
În octombrie 2011, din cauza unei defecțiuni a serveruluicentral și a software-ului de codare a serviciilor, utilizatoriide telefoane Blackberry din SUA, Europa, Orientul Mijlociu, Africa, India și câteva state din America de Sud nu au pututfolosi, timp de câteva zile, serviciile de mail și browsing
În 5 octombrie 2012, numeroși posesori de card-uri Visa Raiffeisen procesate de Euronet care au plătit la POS au constatat că le-a dispărut din cont o sumă dublă sau triplă
Galaxy Note 7, peste 100 de cazuri de explozii ale baterieiînregistrate, dintre care unele cu efecte foarte serioase: intoxicații la plămâni ale utilizatorilor, mașini în flăcări
10
Viruși informatici
Sunt programe de mici dimensiuni care provoacă o gamă foarte largăde efecte, în marea lor majoritate negative, și care au proprietatea deautocopiere. Virușii pot viza atât partea software cât și cea hardwarea calculatoarelor electronice, iar reproducerea lor are de regulă locfără știrea utilizatorului. Fiecare program afectat se comportă larândul lui ca un virus, infecția crescând astfel în proporțiegeometrică.
Viermi informatici
Sunt programe cu capacitatea de a se auto transmite în rețelele decalculatoare, fără intervenția utilizatorului. Spre deosebire de viruși,ei nu se atașează unor fișiere. Chiar dacă viermele nu este programatsă desfășoare o anumită acțiune negativă, însăși răspândirea sa areca efect îngreunarea lucrului în rețea, prin consumul de lărgime debandă.
Cai troieni Un cal troian este un program rău-voitor “deghizat” într-un darpentru utilizator (într-un software legitim). Programele de tip troiannu sunt viruși, însă pe un computer infectat pot lucra „mână în mână”cu aceștia.
11
Rootkit-uri
Termenul rootkit face referire la programul utilizat pentru modificareasau simularea funcțiilor de bază ale unui sistem de operare, dândposibilitatea unui atacator să acceseze un sistem informatic de ladistanță, fără ca utilizatorul să fie conștient de acest fapt.
Rootkit-urile nu încearcă să se auto-distribuie, deoarece, de regulă,autorul lor vizează câștigarea drepturilor totale asupra unui calculatoranume.
Rootkit-urile, în marea majoritate, pun la dispoziția atacatorului unbackdoor prin care acesta poate intra în sistem oricând dorește șipoate efectua orice operațiuni asupra datelor.
Rootkit-urile sunt rareori distructive ele însele, pentru ca scopul loreste de a câștiga și menține controlul asupra unui sistem pentru a-ifolosi capacitatea de procesare în interesul atacatorului sau pentru aaccesa informații importante cum ar fi parole, PIN, numere ale cărțilorde credit etc.
Rootkit-urile permit virușilor și altor tipuri de malware să se „ascundăla vedere”, prin deghizarea acestora ca fișiere necesare funcționăriicalculatorului, astfel fiind omise de software-ul antivirus.
12
Peisajul amenințărilor informatice rezultat din acțiuneaconcertată și combinată a virușilor, viermilor și cailortroieni este unul foarte vast și cu detalii de o varietateinfinită.
În unele cazuri, virușii și viermii pot fi foarte … mondeni: Sober, P. a trimis în 2005 mesaje false legate de momentul deschiderii caselor de bilete la CampionatulMondial de fotbal, infectând mii de calculatoare din 40 de țări, în ciuda dezmințirilor rapide ale FIFA; alți „colegi” ai săi au atacat Mp3 player-e și console de jocuri Sony.
În anul 2016, mesajele spam care au transportatmalware au avut ca subiecte principale campionatul de fotbal Euro 2016 și Jocurile olimpice din Brazilia și au încercat să ademenească utilizatorii în loterii pentrubilete.
13
Stuxnet , prima „super-armă cibernetică” din lume, a fostconstruit cu scopul de a ataca centrala nucleară iraniană de la Busehr, de a prelua controlul circuitelor din interiorulacesteia și de a cauza pagube materiale.
Stuxnet este un atac informatic care se răspândește pecalculatoare pe care este instalat sistemul de operareWindows, a fost descoperit în luna iunie a anului 2011 de o firmă din Belarus numită Virus Blok Ada și este primul virus de calculator care are rolul de a spiona și de a reprogramasistemele industriale.
El a fost scris pentru a ataca sistemele de control și achizițiea datelor folosite pentru controlul și supraveghereaproceselor industriale. Stuxnet are capacitatea de a reprograma controlerele programabile (super computerecare gestionează procesele automate dintr-o fabrică) și de a ascunde modificările efectuate.
14
Stuxnet a deschis drumul pentru atacuri similare:
o Duqu, creat pentru atacuri asupra infrastructurii critice, precum
centralele electrice, rafinăriile petroliere și conductele de petrol
o W32.Narilam, creat cu scopul de a deteriora datele și de a ataca
sistemele care răspund de comenzi, contabilitate și management în Iran
o Linux.Darlloz Worm, capabil să infecteze routere-le utilizatorilor casnici
de Internet, camerele video și alte dispozitive conectate la Internet
15
Scareware sunt escrocherii informatice prin care utilizatorii sunt speriați că folosesc un dispozitiv virusat. Mesajele încearcă să convingă oamenii să cumperesoluții antivirus false, iar aceștia vor plăti pentruinstrumente de dezinfecție complet inutile
16
Programele de tip troian pot fi folosite pentru accesarea unordate valoroase ale utilizatorilor, care să le permită atacatorilorpreluarea controlului asupra resurselor sistemului sau a conturilor bancare? Potrivit site-ului despretot.info ransomware este o specie de astfel de troian.
Ransomware înseamnă software cu intenții rele răspândit prin fișierele atașate la e-mail-urile deschise de utilizatorii inocenți pe calculatoarele de la locul de muncă sau de la domiciliu sau prin reclamele de pe site-uri infectate. În primă fază, o aplicație de tip troian contactează un server de comandă și control de unde descarcă fișierele necesare operării. După activare, ransomware blochează accesul utilizatorilor la sistemul informatic respectiv până când aceștia plătesc o răscumpărare (ransom în engleză) către o terță entitate.
17
cele care cer utilizatorilor să trimită un SMS cu un anumit cod la un număr de telefon cu suprataxă
cele care blochează ecranul calculatorului cu o imagine ce pare a veni din partea unei autoritățiguvernamentale cu atribuții în combatereapirateriei online
cele care utilizează funcțiile criptografice incluse însistemul de operare pentru a cripta fișiereleutilizatorului (documente, fotografii etc.)
18
În România, la sfârșitul anului 2012, a circulat un virus denumitPoliția Română, mascat sub forma unei scrisori de la Poliție, care avertiza asupra faptului că PC-ul destinatarului a fost blocat „din cauza ciberactivității nesancționate“
O revenire a lui s-a înregistrat în luna ianuarie a anului 2014, când virusul s-a folosit de vulnerabilitățile din Java pentru a infecta calculatoarele. Partea inteligentă a acestui virus este faptulcă a fost tradus în mai multe limbi și poate fi mascat ușor, chiardacă este controlat de pe un singur server din afara țării. Utilizatorii atacați au declarat că nu răscumpărarea a fostproblema, ci faptul că dacă nu se intervenea rapid virusul preluacontrolul asupra calculatorului. Cu toate acestea, la nivel global s-au pierdut 1,5 milioane de dolari din răscumpărări în trimestrul3 al lui 2012, potrivit datelor firmei Symantec .
19
20
Pretinde 300 de USD, în Bitcoin sau printr-un voucher pre-plătit, pentru decriptarea fișierelor personale ale utilizatorului
21
Vizează tot recompense financiare. El este un malware bancar, rafinat pentru a viza comerțul electronic și protejatîmpotriva măsurilor de securitate obișnuite. Beta Bot atacăde la instituții financiare mari până la site-urile de rețele de socializare, împreună cu platformele de plată, comercianțiicu amănuntul on-line, platformele de jocuri, furnizorii de webmail și FTP. Modalitatea de infectare este un click pe o reclamă-capcană.
După infectare, utilizatorii vor fi în imposibilitatea de a ajunge la orice antivirus întrucât în momentul când încearcăaceasta, vor fi redirecționați către o adresă IP impusă de atacator. Troianul transmite datele furate într-o bază de date MySQL, descarcă alte fișiere malware și controlează de la distanță PC-ul infectat, înșelând utilizatorii printranzacții bancare false 22
Folosite inițial la începutul anilor 1990, când vizau sistemelede operare UNIX, astăzi rootkit-urile pot infecta multe altesisteme de operare, inclusiv Windows. Deoarece rootkit-urilesunt activate înainte ca sistemul de operare să intre însecvența de „boot”, ele sunt foarte dificil de detectat și, prinurmare, oferă o modalitate puternică pentru atacatori de a accesa și utiliza calculatorul vizat fără ca utilizatorul săobserve. Din același motiv, ele sunt greu de eliminat
În prezent, rootkit-urile sunt folosite tot mai mult ca o formăde acoperire pentru a ascunde activitatea unui troian. O greșeală exploatată de către atacatori este accesareacalculatorului de către utilizatori de pe un cont cu drepturi de administrator, ceea ce face ca rootkit-urile să fie instalate cu ușurință de către cibercriminali
23
După un vârf al atacurilor cu rootkit înregistrate în2011, numărul acestora a scăzut, în special ca urmarea folosirii pe scară tot mai largă a microprocesoarelorpe 64 de biți. Astăzi, atacatorii par a fi găsit modalitățide a trece peste certificarea digitală și alte măsuri de securitate implementate în noile sisteme de operare.
Cel mai recent exemplu de rootkit nou este Uroburos, un atac sofisticat dezvoltat de serviciile de spionajrusești, care a trecut neobservat vreme de 3 ani. Scopulsău este de a se infiltra în rețele mari folosindconexiuni peer-to-peer, furând date chiar de pecalculatoarele care nu sunt conectate la Internet, pecare este probabil să fie stocate informațiile cele maiimportante ale victimelor.
24
1. Care e diferența dintre un virus și un vierme?
2. Cum vă protejați calculatorul?
3. Ce faceți în caz că vă este infectat calculatorul?
25
Pagina cursului Adrian Iftene http://thor.info.uaic.ro/~adiftene/Scoala/2018/ICI/
Sfetcu, N. Manualul investigatorului în criminalitatea cibernetică http://www.lulu.com/shop/nicolae-sfetcu/manualul-investigatorului-in-criminalitatea-informatica/ebook/product-21593963.html
Popa, S. E. (2007) Securitatea sistemelor informatice. Note de curs. Universitatea din Bacău,
Facultatea de Inginerie.
Oprea, D. (2017) Protecția și securitatea sistemelor informaționale. Suport de curs.
Universitatea Alexandru Ioan Cuza din Iași, Facultatea de economie și administrarea
afacerilor.
http://www.securitatea-informatica.ro/
Internet
26
http://thor.info.uaic.ro/~adiftene/Scoala/2018/ICI/http://www.lulu.com/shop/nicolae-sfetcu/manualul-investigatorului-in-criminalitatea-informatica/ebook/product-21593963.htmlhttp://www.securitatea-informatica.ro/
