35
Recapitulare tipuri de atacuri
Alte tipuri de atacuri:
◦ Backdoors, botnets, Spyware
◦ DDoS – Distributed Denial of Services, Spam
◦ Phishing și pharming
Întrebări
Bibliografie
2
Factori naturali și condiții de mediu
Incidente
◦ Erori umane
◦ Defecțiuni tehnice
◦ Probleme ale software-ului
Atacuri informatice și non-informatice◦ Viruși, Viermi, Troieni, Rootkit-uri, Scareware, Ransomware
3
4
Backdoors,
botnets
Instalarea programelor numite backdoors pe un calculator îl transformă
pe acesta într-un calculator zombie, pasibil a fi controlat de la
distanță de autorul atacului. Rețelele de calculatoare compromise
se numesc botnets și sunt folosite în general pentru transmiterea de
spam.
Spyware Programele spion sunt instalate în calculator fără știrea
utilizatorului, cu scopuri ca: determinarea preferințelor comerciale ale
celui spionat și „țintirea” lui ulterioară cu reclame adecvate profilului
său de cumpărător, modificarea rezultatelor afișate de motoare de
căutare ca Google, Yahoo! sau MSN pentru a aduce între primele
pagini afișate de acestea site-uri care vând produse scumpe,
folosirea puterii procesorului pentru execuția unor sarcini de lucru
ale atacatorului. Simptomul principal al infectării cu spyware este
încetinirea vitezei de lucru a calculatorului.
Prin intermediul botnet-urilor, atacatorii pot controla milioane de calculatoare
răspândite pe întregul Glob. Rețelele astfel formate pot fi utilizate pentru
efectuarea de atacuri informatice asupra unor ținte civile sau guvernamentale.
Botnet-urile transmit spam, malware, reclame frauduloase etc.
În 2012, botnet-ul Flashback a reușit să infecteze aproximativ 600.000 de
calculatoare Apple.
În 2015, aproape 100.000 de site-uri care utilizează platforma Wordpress au fost
încorporate într-o rețea botnet care lansează atacuri de tip DDoS
Necrus, o rețea doborâtă în 2015, a fost re-pusă în funcțiune în 2016, generând
cantități foarte importante de spam. Tendința anului 2016 a fost apariția botnet-
urilor IoT, mai ales pentru atacuri DDoS. Și botnet-urile, ca și malware, sunt
îndreptate spre câștiguri monetare.
5
Definiție – Programele software de tip spyware sunt folosite pentru a
colecta și trimite informații din calculatorul victimei către o bază de date
sau către calculatorul infractorului
Un grup de activiști online, mai exact “hacktiviști”, au susținut în 2011 că
au interceptat un troian care era utilizat de guvernul german pentru
a spiona suspecții în diverse cazuri. Aplicația controlează partea
hardware a computerului și poate activa microfonul sau camera video
atunci când autoritățile au nevoie. Hackerii spun că aplicația permite
însă și plantarea de dovezi false de la distanță pe orice computer.
6
FinFisher, un spyware vândut de Gamma Group (din Marea Britanie),
poate executa fără niciun avertisment controlul de la distanță al unui
calculator, copierea fișierelor, interceptarea apelurilor Skype și a
fiecărei apăsări de tastă făcută de utilizator. Primul atac al acestui
spyware a fost descoperit în februarie 2011, în Egipt, iar în decembrie
site-ul anti-secret WikiLeaks a publicat un video de atenționare despre
cum poliția ar putea planta FinFisher pe un calculator țintă.
7
8
DDoS –
Distributed
Denial of
Services
Este un atac prin care se încearcă indisponibilizarea unei stații
de lucru sau a unui site Web față de utilizatorii săi de drept. În
cele mai multe cazuri, atacurile DDoS sunt paravane
(smokescreens) pentru alte tipuri de atacuri, cum ar fi infectarea
cu viruși, activarea malware, compromiterea rețelei, furtul
datelor clienților.
Spam Termenul spam desemnează mesaje electronice nesolicitate,
trimise în masă și în mod automat către un număr mare de
utilizatori, fără ca aceștia să aibă posibilitatea de a se opune primirii
lor. Conținutul mesajelor de tip spam se referă adesea la produse
și servicii mai mult sau mai puțin dubioase.
DoS este prescurtarea expresiei din engleză „Denial of
Service”, în traducere reprezentând refuzul, blocarea serviciului.
Acest atac este efectul eforturilor intense ale unei persoane de a
împiedica un site Web sau servicii de Internet de a funcționa în
parametri normali.
Atunci când atacul se face în mod concertat din mai multe
puncte, de către mai mulți atacatori care s-au înțeles în prealabil
asupra țintei și momentului, el se numește DDoS – Distributed
Denial of Services. În atac pot fi implicate și calculatoarele
unor utilizatori inofensivi, care nu au știință despre acest
fapt.
9
Metoda tradițională de atac se referă la transmiterea unui număr foarte mare
de solicitări nelegitime serverului, solicitări care îi consumă resursele
hardware sau software și îl fac indisponibil. Atacurile de tip DOS pot avea ca
efect:
provocarea re-pornirii forțate a calculatorului
consumarea intensă a resurselor disponibile ale unui server
blocarea conexiunii dintre utilizatorul bine intenționat și calculatorul atacat,
astfel încât acesta să nu mai poată comunica
10
Cel mai mare atac DDoS al anului 2011 a avut loc în Asia. El a durat
aproape opt zile și a inclus patru valuri succesive de flood (inundare cu
pachete de date), între 5 și 12 noiembrie. La atac au participat 250.000
de computere infectate cu malware, multe dintre ele aflate în China.
În momentul culminant, acestea au realizat 15.000 de conexiuni pe
secundă la platforma de e-commerce a firmei atacate, traficul atingând
un nivel de 45 Gbps.
11
Conform raportului ENISA Threat Landscape din 2013, principalele
motivări ale atacurilor de tip DOS sunt vandalismul și înșelăciunea.
Destinațiile sunt foarte variate:
site-ul guvernelor georgian, Iranian
serverul Departamentului de Finanțe al guvernului irlandez
serverele de jocuri Counter-Strike
rețelele de socializare Facebook, Twitter, Livejournal,
Google în 6 august 2009
Se preconizează că un atac concertat de tip DDoS ar putea bloca
chiar întregul Internet
12
În 2016, DDoS a fost unul dintre canalele principale folosite pentru a lansa
atacuri în mod repetat. 73% din organizații au suferit un atac DDoS. Cele mai
vizate sectoare au fost industria jocurilor, software și tehnologie, retail,
turism, finanțe.
Cel mai mare atac DDoS al anului 2016 a implicat inclusiv camere de
supraveghere . Sub comanda unui troian care a orchestrat acest atac, o rețea
uriașă de dispozitive IoT (în număr de 150.000 camere de supraveghere și
aparate DVR – Digital Video Recording) și routere a focalizat mai mult de 1TB
de date către un site francez de Web hosting, ovh.com. Ulterior, același
mecanism a fost folosit pentru a indisponibiliza o serie de alte site-uri, printre
care Twitter și Spotify.
13
Mesajele de tip spam se disting prin caracterul agresiv, repetat și prin
privarea dreptului la opțiune. Deși nu sunt atacuri informatice, mesajele spam
pot conține malware. Mesajele spam se folosesc și pentru colectarea de adrese
de e-mail, de obicei vândute către alți furnizori de spam.
Un atac inedit de tip spam s-a produs între 23 decembrie 2013 și 6 ianuarie
2014. Au fost trimise peste 750.000 de mail-uri de tip spam și peste 100.000
de dispozitive inteligente au fost afectate, printre care router-e, televizoare și
... un frigider. Mai mult de 25% din mesajele spam, au fost expediate de pe
dispozitive inteligente, altele decât calculatoare sau smartphone-uri .
Într-un alt atac, posesorii de ID-uri Apple au fost înștiințați că au câștigat un
App Store Gift Card în valoare de 200$ și că trebuie să acceseze link-ul
atașat de mail pentru a descărca fișierul cu codul acelui Gift Card. În realitate,
fișierul era infestat cu malware și viza furtul datelor personale și financiare
ale utilizatorilor.
14
15
Phishing și
pharming
Phishing-ul este un atac bazat pe clonarea unui site care, de regulă,
aparține unei instituții financiare și publicarea sa pe Web cu un URL
foarte asemănător cu cel al site-ului original (de exemplu,
www.bancp0st.ro ca substitut al www.bancpost.ro – sesizați folosirea cifrei
zero în locul literei „o”). Utilizatorii sunt apoi atrași către site prin mesaje de
poștă electronică scrise cu un limbaj propriu instituțiilor financiare, prin care li
se comunică necesitatea confirmării datelor de acces la site (nume de
utilizator și parolă) sau a contului bancar. În mesaj se găsește un link care
direcționează utilizatorul către pagina de Web clonată, unde i se cere
introducerea într-un formular a datelor sale personale sau financiare.
Pharming-ul este mai sofisticat și necesită cunoștințe avansate, cu care
atacatorii schimbă pe server-ele DNS legătura dintre URL-ul site-ului
atacat și site-ul original, nemaiavând nevoie de înșelătoria descrisă anterior.
Datorită progreselor în tehnologie, tipurile de tranzacții care pot fi
finalizate acum online sunt foarte numeroase. Creșterea volumului de
tranzacții online a fost însoțită și de o creștere a criminalității în acest
sens, și astfel accesul fraudulos la informațiile cu caracter personal
pe Internet este din ce în ce predominant si sofisticat. Două forme de
atacuri în acest sens se evidențiază în mod special, și anume phishing-ul
și pharming-ul
Phishing-ul, denumit și înșelăciune electronică, reprezintă o formă de
activitate infracțională care constă în obținerea unor date confidențiale,
cum ar fi date de acces pentru aplicații de tip bancar, aplicații de
comerț electronic, informații referitoare la carduri de credit, ce
constă în folosirea unor tehnici de manipulare a identității unei
persoane sau a unei organizații .
16
Potrivit wikipedia.ro, atacatorii folosesc diverse tehnici pentru a-și
determina victimele să-și dezvăluie date confidențiale. Un exemplu
constă în trimiterea de către atacator a unui mesaj electronic, în care
utilizatorul este sfătuit să-și dea datele confidențiale pentru a
câștiga diferite premii sau este informat că acestea sunt necesare
datorită unor erori tehnice care au dus la pierderea datelor originale.
Mesajele se pretind a fi din partea unor instituții financiare, servicii de
plată online, rețele de socializare, furnizori de servicii de internet,
organizații non-profit, servicii de coletărie etc. De obicei în mesajul
momeală este introdus un link care trimite către o clonă a site-ului Web al
organizației reale.
17
05.03.2020 09:11
La începutul anului 2011, presa scria că 2% dintre români au pierdut
bani în urma atacurilor de tip phishing. Apoi, atacurile în forma
clasică au scăzut în intensitate, mai ales ca urmare a introducerii de
metode de dublă autentificare de către instituțiile bancare, dar au
proliferat înșelăciunile similare făcute prin telefon (unde relația care se
stabilește cu victima este mult mai personală).
În luna martie a anului 2014, rețeaua de socializare LinkedIn a fost
ținta unui atac de tip phishing. Acest tip de atac s-a desfășurat printr-o
campanie de e-mail trimis în masă, folosind ca temă ziua de Sfântul
Patrick. Mesajul promitea utilizatorilor accesul la un cont premium gratuit.
Dacă aceștia apăsau pe link-ul care trimitea la activarea contului, datele
le erau capturate de atacatori, care foloseau o pagină Web foarte
asemănătoare cu cea originală LinkedIn.
19
În 2016, s-a înregistrat o diversificare a metodelor de a ținti victimele și o
creștere a calității atacurilor. Profilurile victimelor au fost construite
folosind informații din Social Media privind comportamentul și locul
de muncă. Combinația phishing + ransomware a cunoscut o creștere de
800% în primul semestru din 2016 comparativ cu ultimul trimestru din
2015. În medie, circa 30% dintre mesajele phishing au fost deschise
de destinatari. 12% dintre cei vizați au dat click pe link-ul din mesaj,
infectându-și sistemul. Numărul brandurilor atacate a fost de
aproximativ 400, iar pentru fiecare brand s-au folosit circa 350-400 URL-
uri false. Cele mai menționate companii în atacurile de tip phishing au
fost Microsoft, Facebook și Yahoo
20
Pharming este un tip de atac ce are la bază tehnici folosite în cadrul
phishing-ului, dar mai sofisticat. Pharmer-ii trimit, de asemenea, e-mail-
uri cu conținut rău-intenționat. Diferența constă în faptul că utilizatorul
poate fi înșelat de către pharmer fără a deschide un atașament e-
mail sau a activa un hyperlink. Mesajul e-mail primit, odată deschis,
determină instalarea unui program software pe calculatorul
utilizatorului. Ulterior, în cazul în care consumatorul încearcă să
viziteze un site oficial vizat de atacator, programul software
redirecționează browser-ul la versiunea falsă a site-ului respectiv. În
acest fel, pharmer-ul captează informațiile financiare pe care utilizatorul
le introduce în site-ul contrafăcut.
21
22
Alte atacuri
(infracțiuni)
informatice
Potrivit Titlului III al Legii 161 din 19/04/2003 privind unele măsuri pentru
asigurarea transparenței în exercitarea demnităților publice, a funcțiilor publice și
în mediul de afaceri, prevenirea și sancționarea corupției, care se referă la
prevenirea și combaterea criminalității informatice, atacurile care reprezintă
infracțiuni informatice sunt:
accesul, fără drept, la un sistem informatic
interceptarea, fără drept, a unei transmisii de date informatice
transferul neautorizat de date dintr-un sistem informatic
perturbarea gravă, fără drept, a funcționării unui sistem informatic, prin
introducerea, transmiterea, modificarea, ștergerea sau deteriorarea datelor
informatice sau prin restricționarea accesului la aceste date
Atacuri de
alte naturi,
cu
proveniențe
diverse
Organizațiile pot fi și ținta unor atacuri ca:
vânzarea de informații clasificate către concurență (secrete comerciale, rețete
de fabricație)
spionaj industrial sau reverse engineering (proiectare inversată)
vandalism
șantaj din partea ziariștilor etc.
Furtul de identitate este activitatea ilegală prin care infractorul fură date personale,
ca de exemplu nume, codul numeric personal, data nașterii, numărul cardului de credit și
le folosește în mod fraudulos, vizând anumite beneficii, cel mai adesea bani.
Furtul de identitate nu este un atac propriu zis, ci un rezultat al unor atacuri reușite care au avut
ca țintă date personale.
Furtul de identitate poate fi împărțit în mai multe categorii, în funcție de scopul acestuia, și
anume:
furtul de identitate comercial sau de afaceri, efectuat pentru obținerea unor credite sau
pentru a închiria sau a vinde un apartament
furtul de identitate penal, atunci când suspecții de crimă sau infracțiuni penale pretind a fi
altcineva
furtul de identitate medical, pentru avantaje ca medicamente sau îngrijiri de specialitate
furtul de identitate financiar, de pe urma căruia se câștigă acces la servicii bancare
clonarea de identitate, atunci când cineva își însușește complet identitatea altei persoane în
viața de zi cu zi
23
Câteva semne care ar putea da de înțeles utilizatorilor că sunt victima unui
furt de identitate sunt:
primirea din senin a unui SMS, telefon sau e-mail în care se cere confirmarea
anumitor detalii referitoare la contul bancar
solicitarea la telefon, de către interlocutori necunoscuți, a anumitor date cu
caracter personal
lipsa unor sume din contul bancar, fără a avea o explicație
imposibilitatea de a efectua anumite tranzacții, cum ar fi un împrumut
În anul 2007, a avut loc un atac în care serverele guvernului chilian au fost sparte și au
fost furate datele de identitate, numele, adresele și numerele de telefon a 6
milioane de oameni, pentru ca mai apoi să fie făcute publice pe diferite forumuri. Un alt
incident, ce a dus la peste 1.800 de cazuri de fraudă a fost atacul online asupra lanțului
de supermarketuri Hannaford Bros, ce a fost concretizat prin pierderea PIN-urilor a 4,2
milioane de clienți.
24
În domeniul tehnologiilor informaționale și de comunicații, termenul de hacker a fost folosit de-a
lungul timpului cu mai multe înțelesuri. Sensul inițial a fost cel de inginer pasionat de calculatoare,
în special partea lor hardware, capabil să le înțeleagă în detaliu funcționarea, care contribuia la
dezvoltarea acestora. După ce o parte dintre acești specialiști au fost implicați în activități ilegale,
presa a început să folosească termenul hacker într-un sens peiorativ, desemnând persoanele
care pătrund fără drept în sistemele informatice, căutând și exploatând vulnerabilitățile pe
care le pot prezenta acestea. Băieții rămași buni, interesați de dezvoltarea informaticii, au cerut
ca doar ei să fie denumiți în continuare hacker-i, iar pentru atacatori să se folosească termenul
cracker.
O alternativă la împărțirea prezentată este următoarea clasificare:
hacker-ii cu „pălării negre”, care se infiltrează ilegal în calculatoarele altor persoane și
sustrag informații confidențiale
hacker-ii cu „pălării albe” sau hacker-ii etici, care pătrund în sistemele informatice, nu
tocmai legal, pentru a demonstra existența unor vulnerabilități și a atrage atenția asupra
acestora
25
Atacurile hacker-ilor români au făcut subiectul a numeroase știri, atât din presa națională, cât
și din cea internațională. Cei mai cunoscuți hackeri români: Liviu Mihai Concioiu, Victor Faur,
Cernăianu Manole Răzvan, cunoscut în mediul cibernetic ca TinKode, Robert Butyka,
Guccifer (pe numele său real Marcel Lazăr Lehel) sau grupări precum Anonymous România.
În primăvara anului 2009, Liviu Mihai Concioiu a intrat în legătură cu un angajat al
serviciului de asistență IT al site-ului comercial eBay prin intermediul chat-ului pretinzând
că este unul din angajații companiei ce dorește să acceseze site-ul, dar a uitat parola și user-
ul. Acesta a reușit după câteva minute de conversație să obțină parola de acces de la
informaticianul de la eBay, astfel accesând site-ul și furând datele a 22.000 de angajați ai
companiei. Apoi, hackerul a trimis angajaților un e-mail ce aparent venea din partea
directorului, prin care îi anunța că au fost concediați, iar cei care doreau o scrisoare de
recomandare din partea companiei erau rugați să dea click pe link-ul inserat în e-mail. Link-ul
ducea către o pagină falsă a companiei, controlată de Concioiu, unde erau solicitate date
personale. El a reușit astfel să fure datele a trei milioane de utilizatori ai cunoscutului
site comercial, înșelând mai mulți clienți prin vânzarea de mărfuri fictive. Prejudiciul
aferent acestui atac a fost estimat la 3 milioane de dolari. 26
Victor Faur a reușit să spargă serverele Agenției de Cercetări Spațiale a Statelor
Unite ale Americii (National Aeronautics and Space Administration, NASA) și să
pătrundă în sistemele de securitate ale Marinei Americane. Atacurile au avut loc în
perioada 2005–2006 și au compromis 150 de servere NASA, aducând grave prejudicii
de peste 1,5 milioane de dolari. Faur a folosit numele de utilizator și parolele
personalului autorizat și legăturile securizate ale serverelor din rețea, fiind ajutat de
către un alt hacker român ce i-a pus la dispoziție conturile folosite pentru accesarea
serverelor. Ca urmare a acestor atacuri, sistemele electronice au necesitat reparații
capitale, iar inginerii americani au fost nevoiți să comunice manual cu navele din
spațiu. Hacker-ul a vrut să demonstreze vulnerabilitatea computerelor la atacurile
informaționale și a menționat că nu a vrut să obțină câștiguri materiale. Acesta a mai
susținut ca a atacat acele servere deoarece grupul căruia aparținea organiza competiții
pentru a demonstra care hacker este cel mai bun și poate accesa cele mai sigure
sisteme. Victor Faur a fost condamnat la 16 luni de închisoare cu suspendare și la
plata unor despăgubiri în valoare de 238.000 de dolari.
27
Un alt hacker român care a reușit să atace serverele NASA, ale Armatei
Statelor Unite și Pentagonului este Cernăianu Manole Răzvan,
cunoscut în mediul cibernetic ca TinKode. Astfel, el a obținut
informații confidențiale pe care ulterior le-a postat pe blogul său făcându-
le publice. Totodată acesta a conceput o aplicație pe care o vindea
pentru suma de 150 de dolari, împreună cu alte coduri de acces și date
ce permiteau accesul la respectivele sisteme informatice. TinKode a
susținut că nu a avut un scop distructiv, ci a urmărit prin acțiunile sale
descoperirea breșelor de securitate, tocmai pentru a ajuta
organizațiile, acest lucru fiind un hobby pentru el. În urma acestui
hobby, TinKode s-a ales cu 3 luni de arest, 2 ani de închisoare cu
suspendare și cu plata unei amenzi de 123.950 de dolari.
28
Printre acțiunile minore ale hacker-ilor se numără trimiterea de e-mail-uri în numeleorganizației, modificarea unor informații de pesite-ul organizațiilor sau lăsarea pe servere a unor mesaje prin care să informeze că au fost„în vizită”. Hacker-ii ce urmăresc câștigulfinanciar nu se limitează doar la acesteintervenții, ci ajung la infracțiuni ca furtul uneiidei de produs, al banilor din cont sau al unorbaze de date valoroase.
29
Rețineți că, în ciuda caracterului extrem de spectaculos al
atacurilor prezentate anterior, în 2016, 60% din totalul
incidentelor de securitate au fost provocate de angajați.
Identificarea breșelor făcute de insideri și protecția împotriva
lor sunt foarte dificile, în principal pentru că majoritatea
incidentelor sunt descoperite după luni sau chiar ani.
30
Alături de capital şi oameni, informaţia este una dintre averile deosebite
ale firmei. Pentru a periclita această resursă importantă, orice persoană
care dialoghează cu calculatorul unei organizaţii, fie prin multitudinea
tipurilor de reţele, fie prin sistemele de poştă electronică (e-mail) sau prin
intermediul CD-urilor, DVD-urilor, USB-urilor, al benzilor magnetice sau al
altor suporturi de informaţii, aduse din afara unităţii, sau prin scrierea
unor programe cu rol special poate să facă (cel puţin) următoarele
lucruri: să copieze fişierele importante ale altor firme, să influenţeze
evidenţele altora pentru a le cauza pierderi, să reprogrameze
calculatoarele incluse în configuraţia sistemelor de producţie pentru
a provoca avarierea utilajelor sau pentru producerea accidentelor
umane, să şteargă programe sau fişiere.
Din acest motiv, considerăm absolut necesară tratarea cu prioritate de
către manageri a problemelor de securitate informaţională. 31
Investind în tehnică sume colosale, firesc, oamenii au început să
folosească metode adecvate de păstrare a ei în camere speciale, cu
uşi încuiate prin sisteme sofisticate, bazate pe cifru, ferind, ca şi
până acum, noua avere de privirile curioşilor. S-a tratat, deci, tehnica
de calcul ca şi seifurile ce păstrau banii şi bijuteriile de familie, uitându-se
un amănunt foarte important, şi anume că noile averi sunt nu cele
materiale, ci imateriale, cu forme speciale de utilizare, şi cu valori
intrinseci, invizibile de cele mai multe ori, iar căile de protejare folosite
până acum devin ineficiente sau insuficiente. Mai clar, informaţia, căci ea
reprezintă noua avere, devine o resursă de nebănuit a organismelor
economico-sociale. Alături de capital şi oameni, informaţia este una
dintre averile deosebite ale firmei.
32
Jocuri
Muzică, filme, TV on-line
Copii care stau pe calculatorul părinților la serviciu
Stick-ul cu documentele de la serviciu folosit pe calculatorul de acasă
E-mail cu un document care se plimbă între calculatoare
Soluții Scanați cu un anti-virus (nu dureaza mult)
Evitați să instalați programe care încearcă să vă ajute (fără să fi cerut acest lucru)
33
1. Ce putem face împotriva atacurilor de tip
DDoS?
2. Ce faceți în caz că vă este atacat calculatorul?
34
Pagina cursului Adrian Iftene http://thor.info.uaic.ro/~adiftene/Scoala/2018/ICI/
Sfetcu, N. Manualul investigatorului în criminalitatea cibernetică http://www.lulu.com/shop/nicolae-sfetcu/manualul-investigatorului-in-criminalitatea-informatica/ebook/product-21593963.html
Popa, S. E. (2007) Securitatea sistemelor informatice. Note de curs. Universitatea din Bacău,
Facultatea de Inginerie.
Oprea, D. (2017) Protecția și securitatea sistemelor informaționale. Suport de curs.
Universitatea Alexandru Ioan Cuza din Iași, Facultatea de economie și administrarea
afacerilor.
http://www.securitatea-informatica.ro/
Internet
35
