Embed Size (px)
Citation preview
Cuprins:
1. Descrierea unei reţele de calculatoare la nivel conceptual
1.1 Conceptul de reţea
1.2 Clasificarea reţelelor
1.3 Metode de cuplare fizică a unui calculator la internet
1.4 Arhitectura de reţea
2. Securitatea reţelelor
2.1 Introducere
2.2 Criptografia
2.2.1 Algoritmi criptografici cu cheie secretă (simetrici)
2.2.2 Algoritmi criptografici cu chei publice (asimetrice)
2.2.3 Funcţii dispersive
2.2.4 Semnătura digitală
2.2.5 Realizarea eficientă a sistemelor criptografice
2.2.6 Securitatea serviciului e-mail
2.2.7 Securitatea comerţului electronic (e-commerce)
2.2.8 Reţele virtuale private (VPNs)
3. Metode de securizare a reţelelor
3.1 Filtrarea accesului în reţea – firewall
3.2 Securizarea accesului printr-un router wireless
4. Vulnerabilitatea reţelelor
4.1 Categorii de atacuri asupra reţelelor
4.2 Hackerii
4.3 Mass E - Mail-eri
4.4 Protecţii împotriva hackerilor
1
1. Descrierea unei reţele de calculatoare la nivel conceptual1.1 CONCEPTUL DE REŢEA
Reţeaua de calculatoare (network) este un ansamblu de calculatoare (sisteme
de calcul) interconectate prin intermediul unor medii de comunicaţie (cablu coaxial,
fibra optica, linie telefonica , ghid de unde ) in scopul utilizării in comun de catre mai
mulţi utilizatori a tuturor resurselor fizice ( hardware ) , logice ( software de bază si
aplicaţii ) şi informaţionale ( baze de date, fişiere ) , asociate calculatoarelor din reţea.
Toate reţelele au anumite componente , funcţii şi caracteristici comune:
Servere - Calculatore care oferă resurse partajate pentru utilizatori reţelei.
Clienţi - Calculatore de lucru (terminale , staţii de lucru ) care accesează
resursele partajate in reţea de un server.
Mediu de comunicaţie - Modul si elemente în care sunt conectate
calculatoarele in reţea.
Date partajate - Fişiere puse la dispoziţie de serverele de reţea.
Imprimate sau alte periferice partajate
Resurse - Fişiere , imprimante si alte componente care pot fi folosite de
utilizatorii reţelei.
Principale componente ale unei reţele
Rolul principal al unei reţele este de a permite partajarea următoarelor trei
categorii de resurse:
1. Resurse fizice
2. Resurse logice
3. Resurse informaţionale
Partajarea resurselor fizice
- reprezintă posibilitatea utilizării in comun , de mai mulţi utilizatori, a unităţilor
de discuri, imprimante , scanner etc.
Partajarea resurselor logice (programe )
- sunt un ansamblu de programe sistem sau de aplicaţii.
2
Avantajele sunt :
- costul mai mic al instalării programelor
- posibilităţi rapide de actualizare a programelor.
Dezavantajul principal constă în configurarea dificilă a sistemului.
Partajarea resurselor informaţionale
(Baze de date , fişiere )
- sunt reprezentate de aceste fişiere , în funcţie de modul cum a fost configurat
reţeaua există trei posibilităţi de partajare a resurselor informaţionale
- În cadrul partajării directe ,fişierul de pe un calculator este trimis direct pe un alt
calculator.
- Fişierul sau baza de date , pot fi trimise într-un loc intermediar, de unde poate fi
luat mai târziu.
- Stocarea permanentă a informaţiilor într-un loc intermediar , de unde poate fi
accesat de orice calculator.
Pentru clasificarea reţelelor de calculatoare se pot utiliza mai multe criterii , care
depind de parametrii care sunt analizaţi pentru a realiza de partajarea.
1.2 Clasificarea reţelelor
Funcţie de răspândirea geografică , implicit de dimensiuni , reţelele se împart :
Reţele locale (LAN),
Se întind pe o suprafaţă mică , cum ar fi o clădire sau un campus sau utilizate
pentru a conecta calculatoarele unei firme în scopul schimbului de informaţii şi utilizării în
comun a anumitor dispozitive periferice. Acest tip de reţea este destul de dificil d proiectat ,
deoarece într-o astfel de reţea se pot conecta sute de calculatoare , utilizate de utilizatori cu
drepturi foarte diferite .Transmiterea informaţiilor se face folosind un singur cablu liniar sau
de tip inel la care sunt legate toate calculatoarele , permiţând viteze de transfer de10 –100
Mbps.
Reţelele LAN se recomandă pentru aplicaţii de business si educaţionale.
Reţele metropolitane (MAN ) ,
Sunt LAN - uri extinse ce acoperă birouri învecinate sau cartiere alăturate. Pe
acelaşi cablu (eventual doua cabluri) se transmit date , voce şi chiar televiziuni prin cablu.
3
Reţele teritoriale (WAN )
Lucrează la nivelul unei regiuni sau la nivel mondial având distanţa între staţiile
de lucru de ordinul miilor de kilometrii. Cuprind multiple reţele LAN si sunt compuse din
calculatoare si sub reţeaua de comunicaţii. Calculatoarele pe care se execută programele
utilizatorilor se numesc host -gazde. Subreţeaua de comunicaţii transmite mesajele de la o
gazdă la alta şi se compune din liniile de transmisie (numite linii sau canale ) si elemente de
comutare a mesajelor (calculatoare specializate care transmit mai departe informaţiile
primite , numite noduri de comutare a pachetelor sau rutere ).
Subreţeaua se compune dint-un număr oarecare de linii telefonice , cu ajutorul
cărora informaţiile se transmit de la o gazdă la alta, prin parcurgerea succesivă a anumitor
segmente . O astfel de subreţea se numeşte punct –la - punct sau subreţea cu comutare de
pachete. Cele mai des utilizate topologii pentru aceste subreţele sunt stea , inel , arbore ,
completă sau neregulată;
Reţeaua WAN poate fi de două tipuri:
Simplă – prevăzută cu modemuri şi acces la servere de la distanţă , pentru a
permite conectarea utilizatorilor.
Complexă - prin legare sutelor de domenii de reţea la metri distanţă , folosind
routere şi filtre pentru micşorarea costurilor şi mărirea vitezei de transmisie a datelor.
O altă clasificare este în funcţie de complexitatea organizării reţelei:
a. Reţele reale
Care necesită la instalare şi administrare prezenta unor specialişti.
Exemplu: reţeaua Netware a firmei Novell .
b. Reţele false
Arată şi lucrează ca o reţea , dar nu foloseşte echipamente speciale de reţea.
Calculatoarele sunt conectate direct prin intermediul porturilor seriale sau paralele. Ele oferă
aceleaşi facilităţi , dar exploatarea este mai lentă . Acest tip de reţea se recomandă pentru
conectarea unui laptop la un calculator desktop pentru copiere ocazională de fişiere.
Reţele radio
Sunt utilizate pentru a lega între ele calculatore , fără a se utiliza firul ca element
de legătură. Astfel ,pentru ca un calculator să poată accesa reţeaua de pe uscat, de pe apă sau
din aer, se utilizează legătura radio cu ajutorul căreia se pot transmite sau primi faxuri, mesaje
4
de poştă electronică,se pot citi fişiere, etc. Au viteze mai mici de transmitere (1-2 Mbps) şi o
rată mai mare a erorilor, în schimb permit legături în orice situaţie;
Internet-ul
Este cea mai importantă reţea de calculatoare, în urma interconectării a mii de
utilizatori, din toată lumea, a devenit de fapt o reţea de reţele.
Precursorul Internetului datează din 1965, când Agenţia pentru Proiecte de
Cercetare Înaintate de Apărare –a Ministerului Apărării, a creat prima reţea de computere
interconectate sub numele ARPAnet.
1.3 Metode de cuplare fizică a unui calculator la internet
Există un şir întreg de metode de cuplare fizică a unui calculator sau aparat
”inteligent”( smart ) la Internet.
- Acces prin linie telefonică fixă
Utilizatorul unui calculator cheamă programul de comunicaţie, care mai
întâi se conectează la modem. Modemul este o componentă a calculatorului care
converteşte semnale digitale în semnale analogice.
- Acces la un rute (sau modem ADSL) conectat la reţeau fixă de telefonie
sau de ADSL
Legătura de la placa de reţea la ruter se poate face:
Printr-un fir
Fără fir (wireless)
- Acces printr-un controler de comunicaţii dedicat
- Acces prin reţele de telefonie celulară, mobilă
- Acces prin reţeaua de cablu de TV
Reţeaua Internet conţine milioane de fişiere accesibile public folosind serviciul
FTP (fiind un protocol care asigură un standard comun pentru mutarea fişierelor de la un
computer la altul de-a lungul unei reţele) .
Conectarea la un server FTP se poate face prin :
Conectarea în Mod Anonim
Se realizează prin conectare drept utilizator Anonymous, când nu există un cont
special pe un server de FTP.
Conectare cu Nume de Utilizator şi Parolă
5
Trebuie să existe un cont acordat de către administratorul server-ului FTP, mai
largi decât pentru un utilizator Anonymous.
NAVIGAREA PE WEB
Conectarea la serviciul WWW se face prin lansarea de execuţie a browser -ului,
calculatoarele aflate în interacţiune schimbă între ele diverse informaţii ajungându-se în final
la pagina Web dorită. O adresă Web este alcătuită din:
Protocol
Adresa calculatorului unde pagina Web ce se doreşte a fi accesată este stocată
INTERNET EXPLORER
Este aplicaţia cea mai utilizată a browser -ului, fiind livrat cu kit-ul de instalare al
interfeţei grafice Windows.
Aplicaţia Internet Explorer este un produs al firmei Microsoft şi este un
instrument perfect de navigare.
NETSCAPE NAVIGATOR
Este un produs al firmei Netscape Communications şi este unul dintre cele mai
răspândite programe de navigare ,iar interfaţa grafică este mai bună şi permite utilizatorului
mai multe facilităţi.
Internet-ul este definit ca un sistem mondial de reţele de calculatore
interconectate , care înlesneşte serviciile de comunicare a datelor cum ar fi deschiderea unei
sesiuni de lucru la distanţă, transferul de fişiere, poşta electronică şi grupurile de discuţii.
POSTA ELECTRONICA
Este un serviciu ce semnifică utilizarea unei reţele pentru transmiterea şi
recepţionarea de mesaje, având următoarele funcţii:
a) Compunerea
b) Transferul
c) Raportarea
d) Dispoziţia
În funcţie de tehnologia de transmisie, reţele de calculatore se împart :
6
Reţele cu difuzare
Au un singur canal de comunicaţie care este accesibil tuturor calculatoarelor din
reţea. Fiecare calculator transmite mesaje scurte numite pachete, primite de toate celelalte
calculatoare;
O variantă a trimiterii de pachete este aceea în care toate calculatoarele din reţea
sunt destinatari ai pachetului, operaţiunea numindu-se în acest caz difuzare de pachete. Pentru
unele reţele se poate defini şi operaţiunea de trimitere multiplă, care constă în trimiterea
pachetelor către o submulţime a calculatoarelor din reţea;
Reţele punct la punct
Dispun de mai multe conexiuni între calculatoarele reţelei. Transmiterea
mesajului se face prin parcugerea unui traseu ce conţine unul sau mai multe calculatoare;
uneori există mai multe trasee posibile şi atunci intervin algoritmii de dirijare care caută
traseele cele mai scurte.
După topologia reţelelor pot fi:
Reţele cu topologie tip magistrală (bus)
- Este cea mai folosită când se realizează reţele locale de mici dimensiuni. Acest
model se mai numeşte şi magistrală liniară deoarece există un singur cablu care leagă toate
calculatoarele din reţea.
- Avantajul este acela că, în cazul ruperii unui cablu sau defectării unui
calculator, nu se ajunge la oprirea întregii reţele.
- Dezavantajul este că, atunci când doreşte să transmită date, calculatorul trebuie
să” lupte " (să aştepte eliberarea cablului)
Este o metodă uzuală de conectare, permite transmiterea mesajelor între
calculatoare folosind principiul expus la reţele cu difuzare ;
Reţele cu topologie tip inel
- Conectează fiecare calculator de alte două (calculatoarele fiind aşezate în
cerc ). Datele transmise de un calculator trec prin toate calculatoarele intermediare .
- Performanţele unei reţele inel sunt ceva mai mari decât ale unei reţele de tip
magistrală.
Reţele cu topologie tip stea
- Foloseşte un calculator central care va fi conecta cu toate celelalte calculatoare
prin cabluri directe .
7
- Transferurile de date se realizează prin intermediul calculatorului central de
mare putere , iar reţeaua va avea performanţe ridicate, însă defectarea acestuia duce la oprirea
reţelei.
Reţele cu topologie tip arbore
- Calculatoarele sunt legate ierarhizat
Reţele cu topologie tip completă
- Toate calculatoarele sunt legate între ele pentru a asigura existenţa unei
legături între oricare din punctele reţelei, în caz de defectare a unui cablu.
Reţele cu topologie de tip neregulată
- De obicei sunt reţele realizate fizic în care s-a pornit de la topologie care apoi
a fost extinsă fără a se respecta una din topologiile prezentate anterior.
8
După criteriul funcţiei calculatoarelor din reţea, adică al existenţei sau nu al unui
calculator numit server, se deosebesc:
Reţele per sau peer –to -peer
Se ”numesc” reţele între egali întrucât toate calculatoarele sunt tratate la fel , fără
a se mai insista pe faptul ca unele sunt mai bune decât altele. Reţelele peer-to-peer sunt
numite şi grupuri de lucru (Work groups ), acest termen desemnând un număr mic de
persoane. De obicei , o reţea peer-to-peer este formată din cel mult 10 calculatoare şi implică
costuri mai mici decât cele bazate pe server.
Retea de tip peer to peer
Reţele bazate pe server -(client/server)
În care există un calculator puternic , cu performanţe deosebite , care deserveşte
cererile celorlalte calculatoare şi asigură securitatea datelor din reţea ,au devenit modelul
standard pentru interconectarea în reţea. Serverul poate fi dedicat sau nededicat , şi este
calculatorul care conduce practic reţeaua; un server dedicat este un calculator care
funcţionează doar ca server .
Calculatorul central (serverul) poate fi un calculator obişnuit pe care este instalat
un sistem de operare pentru reţea : NetWare , Unix, Windows NT/2000.
Acest calculator central controlează toate resursele comune (unităţi de discuri ,
imprimante , plottere , modemuri ,fişiere etc ), asigură securitatea datelor şi sistemului ,
realizează comunicaţii între staţiile de lucru.
- Serverele se numesc „dedicate „ deoarece sunt optimizate să deservească rapid
cererile clienţilor din reţea şi să asigure securitatea fişierelor şi a directoarelor având
următoarele funcţii principale:
9
- serverul de date şi tipărire , administrează accesul la date şi imprimantă .
Datele sunt prelucrate cu o aplicaţie de pe calculatorul utilizatorului , dar se păstrează pe
server şi sunt tipărite la o imprimantă legată de server ;
- serverul de aplicaţii , administrează accesul la aplicaţii şi date . Datele sunt
păstrate pe server , la fel şi aplicaţiile , iar utilizatorul are pe calculatorul său doar rezultatele
executării aplicaţiilor dorite . Utilizează metodologia client/server ;
- serverul de poştă electronică , administrează transferul de masaje electronice
între calculatoarele din reţea ;
- serverul fax , administrează traficul de mesaje fax între calculatoarele din
reţea;
- serverul de comunicaţii , administrează transferul de date şi mesaje e-mail între
calculatoarele din reţea ;
- serverul de directore , administrează informaţiile din reţea din punct de vedere
al păstrări , gestionării ,localizării şi măsurilor de protecţie.
RETEA BAZATA PE SERVER
Într-o reţea pot fi configurate mai multe servere. Repartizarea sarcinilor pe diferite
servere asigură executarea fiecăreia in cel mai eficient mod posibil.
Un server de reţea şi sistemul de operare lucrează împreună, în mod unitar.
Indiferent de cât de puternic sau performant este un server , el este inutil fără sistem de
operare care să valorifice resursele sale fizice.
Anumite sisteme de operare avansate , cum ar fi Microsoft Windows NT Server,
au fost concepute astfel încât să beneficieze de cele mai moderne echipamente hardware cu
care este dotat un server.
Avantaje:
10
Principalul avantaj al reţelelor bazate pe server este partajarea resurselor. Un
servere este proiectat pentru a oferi acces la mai multe fişiere şi imprimante , asigurând în
acelaşi timp fiecărui utilizator performanţele şi securitatea necesară .
Partajarea datelor în cazul reţelelor bazate pe servere poate fi administrată şi
controlată centralizat .Resursele sunt localizate de obicei într-un server central , fiind mai uşor
de detectat şi de întreţinut decât cele distribuite pe diferite calculatoare .
Securitatea
Principalul motiv pentru care se recurge la o reţea bazată pe server îl reprezintă
nevoia de securitate . Politica de securitate este stabilită de un administrator , care o aplică
pentru fiecare calculator şi utilizator din reţea .
Număr de utilizatori
O reţea bazată pe server poate avea mii de utilizatori . Utilitatea de monitorizare
disponibile în prezent permit gestionarea unei reţele bazate pe server cu un număr mare de
utilizatori .
Consideraţii referitoare la hardware
Partea de hardware a calculatoarelor client poate fi limitată la nevoile
utilizatorului , deoarece calculatoarele client nu au nevoie de memorie RAM şi spaţiu pe disc
suplimentare , ca în cazul serverelor . Un calculator client obişnuit trebuie să includă cel puţin
un procesor 486 şi până la 16 MB memorie RAM .
Retele combinate
Într-o reţea combinată funcţionează două tipuri de sisteme de operare pentru a
asigura ceea ce mulţi administratori consideră a fi o reţea completă.
Un sistem de operare pentru reţele bazate pe server , cum ar fi Microsoft Windows
NT Server sau Novell Net Ware , asigură partajarea aplicaţiilor şi a datelor importante .
Calculatoarele client pot rula un sistem de operare cum ar fi Windows NT
Workstation sau Windows 95 . Ambele pot accesa resurse de pe serverul desemnat şi simultan
pot partaja propriile hard discuri , pentru a pune la dispoziţie datele respective .
11
Windows NT
Server
Windows for
Workgroup Windows 95
WindowsNT
Workstation Imprimanta
Reţele combinate includ servere dedicate şi calculatoare obişnuite
1.4 Arhitectura de reţea
Termenul de arhitectură de reţea defineşte structura globală precum şi
componentele, cum ar fi echipamentele hardware şi software-ul de sistem.
În domeniul topologiilor pentru reţelele de calculatoare s-au realizat şi unele
standardizări:
Ethernet
TokenRing
AplleTalk
ArcNet
Indiferent de topologia utilizată, arhitectura standard a unei reţele Ehternet este
următoarea.
Server-e
Staţii de lucru
Echipamente de comunicaţii
Serverul de reţea este acel calculator din reţea care conţine unităţile de disc,
imprimantă sau alte resurse partajate. Sunt în general echipamente cu două procesoare Intel
Pentium II, cu frecvenţe variind între 300MHz şi 1000MHz, ROM-128MB.
De exemplu într-o reţea Windows NT Server,există diferite tipuri de servere:
Servere de fişiere şi de tipărire
Administrează folosirea resurselor de tip fişier şi imprimantă.
Servere de aplicaţii
12
Pun la dispoziţia clienţilor componenta server a aplicaţiilor de tip client/server,
precum şi datele respective.
Servere de poştă
Transferul de mesaje electronice între utilizatorii reţelei sunt gestionate.
Servere de fax
Gestionează traficul de mesaje fax în/şi dinspre reţea, partajând una sau mai multe
plăci de fax-modem.
Servere de comunicaţii
Gestionează fluxul de date şi mesaje e-mail transmise între reţeaua serverului şi
alte reţele, care folosesc modemuri şi linii telefonice pentru a se conecta la server.
Servere de directoare
Permit utilizatorilor să localizeze, să stocheze şi să protejeze informaţiile din
reţea.
Staţia de lucru
Este un calculator obişnuit care lucrează sub un sistem de operare şi care este
folosit de utilizatori obişnuiţi.
2. SECURITATEA REŢELELOR
2.1 Introducere
În primele decenii ale existenţei lor, reţelele de calculatoare au fost folosite de
cercetătorii din universităţi pentru trimiterea poştei electronice şi de către funcţionarii
corporaţiilor pentru a partaja imprimantele. În aceste condiţii, problema securităţii nu atrăgea
prea mult atenţia. Dar acum , când milioane de cetăţeni folosesc reţele pentru operaţiuni
bancare, cumpărături şi plata taxelor, securitatea reţelei apare la orizont o mare problemă
potenţială. Vom studia securitatea reţelei din mai multe unghiuri, evidenţiind numeroase
pericole şi discutând mulţi algoritmi şi protocoale destinate a face reţelele mai sigure.
13
Securitatea este un subiect vast şi acoperă o multitudine de imperfecţiuni. În
forma sa cea mai simplă, ea asigură că persoane curioase nu pot citi sau, şi mai rău, modifica
mesajele adresate altor destinatari. Ea se ocupă de cei care încearcă de la distanţă să apeleze
servicii, deşi nu sunt autorizaţi să le folosească. De asemenea securitatea implică verificarea
dacă un mesaj, ce pretinde că vine de la IRS şi spune: „Plăteşte până vineri”, provine într-
adevăr de la IRS şi nu de la Mafie. Securitatea se ocupă de probleme legate de capturarea şi
falsificarea mesajelor autorizate şi de cei ce încearcă să nege faptul că au trimis anumite
mesaje.
Majoritatea problemelor de securitate sunt cauzate intenţionat de persoane rău
voitoare care încearcă să obţină anumite beneficii, să atragă atenţia, sau să provoace rău cuiva.
Câţiva dintre cei care comit în mod obişnuit astfel de fapte sunt menţionaţi în fig. 1. Din
această listă trebuie să rezulte clar că realizarea unei reţele sigure implică ceva mai mult decât
păstrarea ei fără erori de programare. Aceasta implică surclasarea unor adversari serioşi.
Arhivele poliţiei arată că cele mai multe atacuri nu au fost săvârşite de străini prin ascultarea
unor linii telefonice, ci de angajaţi ranchiunoşi. În consecinţă, sistemele de securitate ar trebui
proiectate ţinând seama de acest fapt.
Adversar Scop
Student Pentru a se distra furând poşta electronică a celorlalţi
Spărgător Pentru a testa securitatea sistemului cuiva; pentru a fura date
Responsabil de
vânzări
Pentru a pretinde că reprezintă toată Europa, nu numai Andorra
Om de afaceri Pentru a descoperi planul strategic de marketing al competitorului
Fost funcţionar Pentru a se răzbuna că a fost concediat
Contabil Pentru a sustrage bani de la o companie
Agent de vânzări Pentru a nega o promisiune făcută clientului prin posta electronică
Şarlatan Pentru a fura numere de cărţi de credit şi a le vinde
Spion Pentru a afla puterea militară a inamicului sau secrete industriale
Terorist Pentru a fura secrete legate de conflicte armate
Fig. 1 Câteva persoane ce generează probleme de securitate şi motivele acestora.
Problemele securităţii reţelei pot fi împărţite , în mare, în patru domenii strâns
interconectate: confidenţialitate, autentificare, nerepudiere şi controlul integrităţii. Păstrarea
secretului, denumită de asemenea şi confidenţialitate, se referă la păstrarea informaţiei departe
14
de utilizatorii neautorizaţi. Aceasta este ceea ce vine în mintea oamenilor atunci când se
gândesc la securitatea reţelei. Autentificarea reprezintă determinarea identităţii persoanei cu
care vorbeşti înainte de a dezvălui informaţii importante sau de a intra într-o afacere.
Nerepudierea implică semnături: cum să dovedeşti că un client a făcut într-adevăr o comandă
pentru zece milioane de nimicuri de 89 cenţi fiecare, dacă, mai târziu pretinde că preţul era de
69 de cenţi? Sau poate susţine că nu a făcut nici o comandă. În fine, cum poţi fi sigur că un
mesaj pe care l-ai primit a fost cel trimis cu adevărat şi nu unul pe care un adversar răutăcios
l-a modificat în tranzit sau l-a măsluit?
Toate aceste aspecte apar şi în sistemele tradiţionale, dar cu câteva diferenţe
semnificative. Integritatea şi confidenţialitatea sunt realizate prin folosirea poştei înregistrate
şi prin sigilarea documentelor. Jefuirea trenului ce duce poşta este mai greu de realizat decât
era în vremurile de demult.
De asemenea, oamenii pot de obicei să spună ce diferenţă este între un document
original şi o fotocopie şi adeseori numai primul are valoare pentru ei.
Oamenii autentifică alţi oameni prin recunoaşterea feţelor, vocilor şi scrisului lor.
Dovada semnării se face prin semnături pe scrisori cu antet, sigilii etc. falsificarea poate fi de
obicei detectată prin scris, hârtie şi experţi în grafologie. Nici una din aceste opţiuni nu este
disponibilă electronic. Evident, sunt necesare alte soluţii.
Înainte de a intra în prezentarea acestor soluţii, merită să consumăm câteva minute
pentru a stabili unde anume în stiva de protocoale se situează securitatea reţelei. Probabil că
nu există un singur loc. fiecare nivel poate contribui cu ceva. La nivelul fizic, ascultarea
firelor poate fi zădărnicită prin încapsularea liniilor de transmisie în tuburi sigilate conţinând
gaz de argon la presiuni înalte. Orice încercare de a perfora tubul va duce la pierderi de gaz,
reducând presiunea şi trăgând alarma. Câteva sisteme militare folosesc această tehnică.
La nivelul legătură de date, pachetele trimise pe o linie punct – la – punct pot fi
codificate când părăsesc una din maşini şi decodificate când intră în cealaltă. Toate detaliile
pot fi manipulate la nivelul legătură de date, fără ca nivelurile mai înalte să aibă cunoştinţă de
ceea ce se petrece. Această soluţie eşuează totuşi, atunci când pachetele trebuie să traverseze
mai multe rutere, deoarece pachetele trebuie decriptate în fiecare ruter, făcându-le astfel
vulnerabile la atacurile din interiorul ruterelor. De asemenea, ea nu permite ca anumite sesiuni
să fie protejate (de e. acelea ce implică cumpărături on-line folosind cărţi de credit), iar altele
15
nu. Cu toate acestea, criptarea legăturii, cum este numită această metodă, poate fi adăugată cu
uşurinţă la orice reţea şi este adeseori utilă.
La nivelul reţea, pot fi instalate ziduri de protecţie pentru a păstra pachetele în
interior sau pentru a păstra pachetele în afara acestuia. Securitatea IP funcţionează de
asemenea la acest nivel.
La nivelul transport, pot fi criptate conexiuni întregi, de la un capăt la celălalt,
adică de la un proces la celălalt. Pentru o securitate maximă, este necesară securitatea capăt –
la – capăt(end – to - end security).
În sfârşit, problemele cum sunt autentificarea utilizatorilor şi nerepudierea nu pot
fi tratate decât la nivelul aplicaţiei.
Exceptând securitatea de la nivelul fizic, aproape toată securitatea se bazează pe
principii criptografice.
2.2 Criptografia
Criptografia este un set de standarde si protocoale pentru codificarea datelor si
mesajelor, astfel încât acestea să poată fi stocate şi transmise mai sigur. Ea stă la baza multor
servicii şi mecanisme de securitate folosite în INTERNET, folosind metode matematice
pentru transformarea datelor, în intenţia de a ascunde conţinutul lor sau de a le proteja
împotriva modificării. Criptografia vă ajută să aveţi comunicaţii mai sigure, chiar şi atunci
când mediul de transmitere (de exemplu, Internetul) nu este de încredere. De asemenea, se
poate utiliza pentru criptarea fişierelor sensibile, astfel ca probabilitatea de a fi înţelese de
intruşi să fie mai mică. Criptografia poate fi utilizată pentru a contribui la asigurarea
integrităţii datelor, precum şi la menţinerea lor ca secrete. Criptografia vă ajută să verificaţi
originea datelor si a mesajelor prin utilizarea semnăturilor digitale şi a certificatelor. Când
utilizaţi metode criptografice, cheile criptografice trebuie să rămână secrete. Algoritmii,
dimensiunea cheilor si formatele de fişiere pot fi făcute publice fără a compromite securitatea.
Există două tipuri de sisteme criptografice:
• simetrice (cu cheie secretă) care folosesc aceeaşi cheie, atât la
cifrarea cât si la descifrarea mesajelor;
• asimetrice (cu chei publice) care folosesc chei distincte de cifrare si
descifrare (dar legate una de alta).
Din punct de vedere algoritmic si al domeniului de aplicare criptografia poate fi divizată în
16
patru primitive criptografice:
algoritmi criptografici cu cheie secretă;
algoritmi criptografici cu chei publice;
semnătură digitală
funcţii dispersive(rezumat).
Pentru a crea un sistem criptografic care va rezolva problemele securităţii informaţionale
sigur şi eficient este nevoie de folosit primitivele criptografice în grup după cerinţe.
Un sistem criptografic (criptosistem) este compus din:
• M-text clar;
• C-text cifrat;
• 2 functii inverse E() si D();
• un algoritm care produce cheile Ke si Kd astfel încat:
2.2.1 Algoritmi criptografici cu cheie secretă (simetrici)
Pentru asigurarea confidenţialităţii datelor memorate în calculatoare sau transmise
prin reţele se folosesc preponderent algoritmi criptografici cu cheie secretă (simetrici). Ei se
caracterizează prin aceea că ambii utilizatori ai algoritmului împart aceeaşi cheie secretă,
folosită atât la cifrare cât si la descifrare. Cheia de criptare este necesar de păstrat în secret
faţă de utilizatorii neautorizaţi, pentru că cel ce are acces la această cheie poate avea acces si
la informaţia secretă. Algoritmii criptografici simetrici se caracterizează printr-o viteză de
cifrare foarte mare, în comparaţie cu algoritmii criptografici asimetrici si sunt comozi la
cifrarea blocurilor mari de informaţie. Securitatea acestui tip de algoritm depinde în mare
măsură de lungimea cheii si posibilitatea de a o păstra în secret. Problema principală ce apare
la încercarea de a crea comunicaţii secrete între numeroşi utilizatori este managementul
cheilor; pentru n utilizatori sunt posibile n(n-1)/2 legături bidirecţionale, fiind necesare tot
atâtea chei. Aceasta implică în general probleme dificile în generarea, distribuţia şi
memorarea cheilor. Utilizarea calculatoarelor electronice a permis folosirea unor chei de
dimensiuni mai mari, sporindu-se astfel rezistenţa la atacuri criptoanalitice. Când cheia
secretă are o dimensiune convenabilă şi este suficient de frecvent schimbată, devine practic
imposibilă spargerea cifrului, chiar dacă se cunoaşte algoritmul de cifrare.
Securitatea criptării simetrice depinde mult de protecţia cheii criptografice. Ca
urmare, administrarea acestora este un factor esenţial si se referă la:
- generarea cheilor, adică mijloacele (pseudo)aleatoare de creare a succesiunii
de octeţi (biţi) ai cheii;
- distribuţia cheilor, adică modul în care se transmit si se fac cunoscute cheile
tuturor utilizatorilor cu drept de acces la informaţiile criptate;
17
- memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un
card, de obicei criptate sub o altă cheie de cifrare a cheilor, numită si cheie master.
Problema fundamentală a utilizării criptografiei în reţele este aceea a găsirii unor
modalităţi de distribuţie sigură şi periodică a cheilor criptografice, fiind necesar ca acestea să
fie schimbate cât mai des. În Internet, pentru aceasta, se utilizează tot serviciile reţelei,
folosind protocoale speciale sau sisteme cu chei publice, aşa numitele anvelope (plicuri)
digitale.
Cei mai cunoscuţi algoritmi criptografici simetrici sunt:
cifruri bloc
DES (Data Encryption Standard), Triple DES
IDEA (International Data Encryption Algorithm)
AES(Advanced Encryption Standard)
cifruri secvenţiale
RC4
2.2.2 Algoritmi criptografici cu chei publice (asimetrice)
O nouă privire asupra sistemelor criptografice a adus-o algoritmii criptografici
asimetrici(cu chei publice). Aceşti algoritmi se caracterizează prin aceea, că la criptare şi
decriptare se folosesc chei diferite, legate între ele printr-o relaţie matematică. Acest tip de
relaţie este de o aşa natură, că cunoscând o cheie să o determini pe cealaltă, din punct de
vedere computaţional, este foarte greu. Astfel dacă criptăm cu prima cheie vom putea decripta
doar cu cea de a doua şi invers. În acest fel pentru transmitere de informaţii secrete una dintre
chei (de exemplu cea de criptare) se poate face publică, pe când cealaltă să fie ţinută în secret.
Dacă de făcut cheia de descifrare publică, atunci pe baza acestui sistem se poate de creat un
sistem de autentificare.
Din cele expuse aici se pot evidenţia două direcţii de utilizare a
criptosistemelor asimetrice:
de confidenţialitate, se face publică cheia publică şi astfel cel care doreşte să
trimită date confidenţiale proprietarului cheii publice va cripta aceste date cu această cheie,
ştiind că doar proprietarul le va putea decripta.
de autentificare atât a emiţătorului cât si a datelor, emiţătorul criptează datele
cu cheia sa secretă, iar cel ce va dori să autentifice datele va folosi la decriptare cheia
pereche (cea făcută publică)
Chiar dacă criptosistemul asimetric este destul de puternic, vom avea nevoie ca
lungimea cheii să fie de minimum 2304 biţi pentru a oferi un nivel de securitate comparabil
cu cel oferit de o cheie de 128 biţi în criptosistemul simetric. Criptosistemele asimetrice sunt
18
cu mult mai lente la criptare/decriptare si sunt nepractice la criptarea volumelor mari de
informaţii. Criptosistemele simetrice sunt de aproximativ 1000 de ori mai rapide ca cele
asimetrice, de aceea criptosistemele asimetrice cel mai des se folosesc în următoarele scopuri
de bază:
la distribuţia cheilor, care se folosesc la algoritmii simetrici de criptare
semnătura digitală, un atribut al unui utilizator, folosită pentru recunoaşterea
acestuia.
Cele mai întrebuinţate criptosisteme asimetrice sunt următoarele:
RSA (Rivest-Shamir-Adleman)
EG (El Gamal)
ECC (Elliptical Curve Cryptography)
2.2.3 Funcţii dispersive
Funcţia dispersivă se aplică unui mesaj de oarecare lungime M si întoarce o
valoare de lungime fixă h: h=H(M), unde h are lungimea m. Există multe astfel de funcţii,
dar funcţiile dispersive mai au unele proprietăţi suplimentare, care le fac unidirecţionale:
- Ştiind M este uşor de calculat h
- Ştiind H si h este greu de calculat M, pentru care H(M)=h
- Ştiind M, este greu de găsit alt mesaj M1 pentru care H(M)=H(M1)
Funcţiile de dispersie (hash funcţii) joacă un rol important în autentificarea
conţinutului unui mesaj transmis în reţelele de calculatoare. Rolul lor nu este de a asigura
secretul transmisiilor, ci de a crea о valoare h=H(M), numită şi rezumat (digest), cu rol în
procedura de semnătură digitală, foarte greu de falsificat. Una din cerinţele fundamentale
pentru о astfel de funcţie este ca, modificând un singur bit la intrare, să producă о avalanşă de
modificări în biţii de la ieşire.
Există mai multe scheme de calcul a rezumatului unui mesaj, cele mai folosite
sunt:
MD5 - este vorba de un algoritm care primeşte la intrare un mesaj de lungime
arbitrară şi produce la ieşire un rezumat de 128 de biţi.
SHA1 - NIST împreună cu NSA au proiectat un algoritm pentru calculului
funcţiei hash numit Secure Hash Algorithm (SHA), standardul numindu-se SHS. El este
destinat să fie folosit împreună cu sistemul de semnătură digitală DSS ). SHA produce un
rezumat de 160 de biţi, mai mare decât MD5.
2.2.4 Semnătura digitală
O semnătură digitală reprezintă o informaţie care îl identifică pe expeditorul unui
document. Semnătura digitală se realizează folosind un sistem criptografic cu chei publice si
19
o funcţie de dispersie. Astfel în procedura de semnare sunt implicate 3 entităţi:
• M - mesajul de semnat;
• h=H(M) - amprenta digitală a mesajului (rezumatul calculat prin hash);
• - semnătura digitală.
Aceasta face ca semnătura sa fie unică atât pentru un fişier cât si pentru
deţinătorul cheii. Orice modificări aduse documentului afectează semnătura, oferindu-se astfel
atât integritate cât si autentificare. Semnăturile digitale utilizează criptarea asimetrica, în care
se foloseşte o cheie (secretă) pentru a crea semnătura si o alta cheie (publică), legată de prima,
pentru a o verifica. Cheia publică este răspândită si identificată de către certificatele digitale.
Un certificat de cheie publice este о structură de date folosită pentru a se putea asocia, în mod
sigur, о cheie publică cu nişte atribute de utilizator. Certificatele sunt emise de terţi de
încredere, cunoscuţi sub numele de autorităţi de certificare (AC), care îşi asumă
responsabilitatea pentru identificarea utilizatorilor si pentru acordarea cheilor. În mod
asemănător, companiile mari pot folosi AC -uri interne organizaţionale pentru a identifica
personalul si funcţia fiecăruia, în scopul autentificării tranzacţiilor de comerţ electronic.
2.2.5 Realizarea eficientă a sistemelor criptografice
Revenind la scopul de bază a criptografiei putem observa că nici un sistem
criptografic nu poate realiza eficient toate obiectivele ei principale. De aceea în practică
sistemele criptografice apar ca sisteme hibride, primitivele criptografice lucrând împreună
pentru realizarea efectivă a problemelor securităţii informaţionale. Astfel se poate preciza că:
confidenţialitatea, este realizată cel mai eficient de către algoritmii criptografici
simetrici
integritatea datelor – de către funcţiile dispersive
autentificarea, de către algoritmii asimetrici(semnătura digitală)
non-repudierea, în comun de către funcţiile dispersive si semnătura digitală (certificate
digitale)
Definirea infrastructurii sistemelor criptografice hibride
Pentru definirea infrastructurii sistemelor criptografice mă voi axa pe problema, care
apare la schimbul unor informaţii confidenţiale printr-o reţea vulnerabilă, cum este
Internetul. Deci, de ce anume avem nevoie: ca informaţiile să nu le poată citi nimeni
altcineva decât destinatarul, să se poată de identificat sursa informaţiilor, să se poată
detecta o eventuală alterare a informaţiilor. Componentele necesare pentru a satisface
cerinţele de mai sus sunt:
algoritm criptografic simetric (de exemplu AES), pentru criptarea fluxului de
informaţii;
20
infrastructura cheilor folosite (creare, organizare, păstrare, distribuire,
menţinere chei):
chei sesiune, cheile folosite de către algoritmii criptografici simetrici;
chei terminal, folosite pentru criptarea cheilor de sesiune(se foloseşte
infrastructura cheilor publice - PKI);
chei master, necesare pentru criptarea cheilor secrete terminal ;
algoritm criptografic asimetric(pentru schimbul cheilor de sesiune);
funcţii rezumat, pentru validarea integrităţii datelor sau autentificarea
conţinutului lor;
semnătura digitală, pentru autentificarea sursei datelor;
Securitatea informaţională este necesară în cele mai întrebuinţate servicii
disponibile pe Internet:
Serviciul e-mail, nu este un lucru nou că interceptarea mesajelor e-mail se face
destul de uşor, de acea este nevoie de folosit un sistem de securitate care ar permite criptarea
mesajelor, verificarea autorului si a integrităţii datelor recepţionate;
Comerţ electronic (e-commerce), securitatea datelor/tranzacţiilor este foarte
importantă în orice sistem financiar, indiferent că se bazează pe tranzacţii clasice sau
electronice. Pentru a asigura un nivel acceptabil de securitate se utilizează diferite tehnici de
criptare pentru a furniza trei tipuri de servicii: autentificare/autorizare, non-repudierea,
confidenţialitatea şi integritatea datelor.
Reţele virtuale private (VPNs), stabilesc o conexiune securizată între două reţele
printr-un mediu public (ca de exemplu Internet-ul). Aceasta permite crearea unui tunel criptat
de comunicare între cele două reţele, care este transparent pentru utilizatori.
2.2.6 Securitatea serviciului e-mail
Cele mai cunoscute metode de protecţie criptografică a serviciului e-mail sunt
S/MIME (Secure/Multipurpose Internet Mail Extension) si PGP (Pretty Good Privacy).
MIME a fost creat ca standard de transfer si transport a diferitor tipuri de fişiere ataşate la e-
mail, ca GIF, JPEG, DOC si altele. Litera S în fată indică includerea unui standard de
criptare în interiorul acestui protocol. Dar deoarece fiecare sistem e-mail are o realizare
proprie a protocolului S/MIME adesea apar probleme cu interoperabilitatea dintre diferite
sisteme de acest fel. Acest protocol are avantajul că este inclus în majoritatea sistemelor e-
mail si e-mailul clientului(ca Outlook si Eudora). Este soluţia cea mai comodă şi mai ieftină.
O altă soluţie de securitate a serviciului e-mail este produsul soft PGP. PGP este
un pachet de programe destinat protecţiei poştei electronice si a fişierelor, prin cifrare
simetrică si cu chei publice. Cu ajutorul său se pot stabili modalităţi sigure de comunicaţie
21
între persoane, nefiind necesară schimbarea prealabilă a unor chei de cifrare. PGP include un
sistem sigur de gestiune a cheilor, autentificarea datelor prin semnătura digitală si compresia
datelor. PGP satisface trei cerinţe fundamentale:
caracterul privat al poştei electronice, ceea ce înseamnă că doar destinatarul
desemnat al scrisorii poate citi conţinutul acesteia
autentificarea emiţătorului;
autentificarea mesajelor, adică certitudinea că mesajele nu au fost
modificate de alte persoane.
2.2.7 Securitatea comerţului electronic (e-commerce)
Orice Web server care colectează date personale de la clienţi trebuie de considerat
ca un e-commerce server, si toate soluţiile posibile de securitate trebuie de implementat.
Tradiţional doar Web site-urile care conduc tranzacţii comerciale si financiare sunt numite e-
commerce servere, dar este bine ca toate aceste soluţii să fie implementate, după posibilitate
pe orice Web site pentru al face mult mai sigur din punct de vedere al securităţii
informaţionale. Pentru asigurarea unui nivel acceptabil de securitate există mai multe tehnici
de criptare, similare în ceea ce priveşte algoritmii de criptare, dar diferind prin modul si locul
de aplicare. Astfel, dacă ne referim la familia de protocoale TCP/IP, există posibilitatea să se
aplice criptarea la nivelul IP, la nivelul sesiune sau la nivelul aplicaţie. Pentru criptare la
nivelul reţea (IP) se utilizează două mecanisme diferite:AH – Authentification Header care
utilizează pentru autentificare si pentru integritatea datelor algoritmul MD 5 (message- digest)
si ESP - Encapsulating Security Payload care furnizează confidenţialitate folosind algoritmul
DES - Data Ecription Standard. Protocolul de criptare la nivelul de sesiune cel mai folosit este
SSL (Secure Socket Layer )- server securizat de date - în combinaţie cu Certificatul Digital
(Digital Certificate). Certificatul Digital este cel care recunoaşte standardul şi confirmă că
serverul pe care se află web site-ul utilizează într-adevăr criptarea SSL atunci când primeşte si
transmite datele. În momentul în care sunt accesate pagini în care se cer informaţii de plată de
la consumator, acestea trebuie să se afle pe un astfel de server securizat; la nivelul aplicaţiei
există două tehnici diferite: securizarea individuala a aplicaţiilor (S/HTTP si S/MIME) sau
prevederea unor tehnici de criptare externe, deasupra aplicaţiilor predefinite cum sunt PGP
(Pretty Good Privacy) sau SET (Secure Electronic Transfer) .
2.2.8 Reţele virtuale private (VPNs)
Să presupunem că avem o companie cu sedii aflate la distanţă destul de mare ca
să ne permitem realizarea unei reţele personale, dar în acelaşi timp avem nevoie de un nivel
de securitate sporit, care poate fi soluţia acestei probleme? O soluţie dintre cele mai
rezonabile este crearea unei reţele virtuale private prin intermediul reţelei Internet. VPNs este
22
o colecţie de tehnologii care permit crearea unui tunel de comunicare securizat prin Internet
cu ajutorul sistemelor criptografice. Acest tunel poate fi accesat doar de utilizatorii autorizaţi,
pentru ceilalţi fiind transparent. Înainte de a vă conecta la acest tunel de comunicare va trebui
să vă identificaţi. Criptarea în reţele VPNs poate fi efectuată pe două căi diferite: transport si
tunelare. În primul tip se cifrează doar datele propriu zise, însă header-ele pachetelor de date
rămân neschimbate, ceea ce este uneori insuficient . Criptarea nivelului tunel duce la criptarea
atât a datelor cât si a headerelor pachetelor, acesta este foarte bine deoarece este puţin să
criptăm doar datele si să lăsăm adresele si conţinutul pachetelor vizibile.
Elaborarea sistemului criptografic hibrid de transfer instant de fişiere si mesaje
Sistemul dat se referă la crearea unor canale criptografiate de comunicaţii pe
reţeaua Internet, care permite transferul instant de fişiere si mesaje. Acest sistem se poate de
implementat pe diferite sisteme distribuite de informaţii. În lucrarea dată se propune crearea
unui sistem criptografic hibrid la nivelul aplicaţie din suita de protocoale TCP/IP. Aplicaţia va
defini un port pentru comunicare si va folosi protocolul TCP pentru transportul datelor.
Acest sistem criptografic, este propus ca o soluţie la problemele de securitate
informatională, si poate fi realizat atât pentru sistemele de calcul care au conexiune la
Internet cu adresă IP constantă cât si pentru cele la care IP-ul se generează odată cu
conexiunea.
Sistemul criptografic hibrid conţine următoarele componente:
algoritmul simetric de criptare a fluxului de date;
algoritmul asimetric pentru schimbul periodic al cheilor de sesiune;
semnătura digitală pentru autentificarea entităţilor la comunicare.
Arhitectura generală a sistemului este compusă din următoarele aplicaţii:
aplicaţie server, cu funcţii de generare, semnare si gestiunea certificatelor
pentru fiecare utilizator;
aplicaţii utilizator care vor comunică între ele si cu aplicaţia server.
Aplicaţia server oferă următoarele servicii:
- generarea certificatelor digitale pentru fiecare utilizator;
- tine evidenta utilizatorilor cărora li sau eliberat certificate;
- semnează certificatele pentru a li se putea verifica validitatea;
- va urmări care certificate au fost anulate sau expirate.
Certificatul care conţine cheia secretă se criptografiază în baza unei fraze
introduse de utilizator, iar certificatul cu cheia publică se va păstra într-o bază de date
publică, astfel încât fiecare utilizator să poată avea acces la ea.
Certificatul de cheie publică are următoarea structură:
23
seria de identificare a fiecărui certificat;
utilizator(date personale ale utilizatorului);
data expirării certificatului;
cheia publică a utilizatorului;
semnătura aplicaţiei server.
Certificatul care păstrează cheia secretă va avea aceeaşi structură doar că cheia
secretă va fi criptografiată cu un algoritm criptografic simetric (în calitate de cheie se va folosi
hash funcţia frazei introduse de utilizator).
Aplicaţia utilizator posedă următoarele posibilităţi:
Conectarea la un alt utilizator: iniţial se va verifica identitatea utilizatorului
prin fraza cheie;
Crearea unei cereri de conexiune către aplicaţia dorită.
Cererea conţine următoarele date:
subiectul cererii;
certificatul de cheie publică;
cheia de sesiune criptată cu cheia publică a destinatarului;
semnătura digitală a sursei
Acceptarea unei conexiuni din partea altui utilizator:
o verificarea autenticităţii sursei;
o extragerea, decriptarea cheii de sesiune;
o Criptarea/decriptarea fluxului de date cu cheia de sesiune;
o Încărcarea de pe aplicaţia server a certificatelor digitale de chei publică.
Pentru realizarea acestui sistem criptografic se propune utilizarea celor mai
eficiente platforme pentru crearea aplicaţiilor: platforma Java de la Sun sau platforma
Microsoft Net Framework.
Sun propune trei extensii, ca parte integrantă din pachetul SDK care oferă o nouă
perspectivă asupra securităţii. Cele trei extensii sunt JCE (Java Criptography Extension),
JSSE (Java Secure Socket Extension) si JAAS (Java Authentication and Authorization
Service).
JCE reprezintă cadrul în care sunt implementaţi:
- algoritmi de criptare, cei mai cunoscuţi DES, RC2, RC4, IDEA,3DES,AES,
RSA;
- algoritmi pentru generarea de chei pentru algoritmii de criptare;
- criptare cu parolă, PBE ( Password Based Encryption )
24
JCE conţine următoarele servicii :
- fabrici de chei(se pot genera chei pentru tipurile menţionate de algoritmi);
- crearea si managementul bazelor de date în care sunt păstrate cheile;
- crearea si managementul parametrilor algoritmilor de criptare;
- fabrici de certificate.
JSSE implementează protocoalele SSL V3 (Secure Socket Layer) si TLS 1.0
(Transport Layer Security). Această extensie asigură de asemenea suport pentru protocolul
HTTPS si algoritmul de criptare RSA.
JAAS, această extensie permite serviciilor care rulează pe un server să se
autentifice si asigură controlul asupra utilizatorilor ce folosesc serviciile respective.
Microsoft propune în general aceleaşi servicii prin tehnologia Microsoft CryptoAPI .
Securitatea informaţională este o problemă care devine tot mai stringentă si mai
actuală odată cu dezvoltarea reţelelor si industriei sistemelor de calcul. Una din metodele de
bază de asigurare a securităţii informaţionale este metoda criptografică. Criptografia, la
momentul actual acoperă un set de protocoale, algoritmi de criptare, infrastructuri de
manipulare a cheilor criptografice s.a.
Pentru obţinerea unui sistem sigur de protecţie a informaţiei este nevoie de
prevăzut toate direcţiile posibile de atac asupra lui, deoarece este inutil de securizat o latură a
sistemului, atunci când atacul poate fi uşor realizat pe o latură mai sensibilă.
Un sistem criptografic este eficient atunci când ţine echilibrul între ceea ce este
necesar si ceea ce este posibil. Pentru crearea unui astfel de sistem este nevoie de construit o
infrastructură pusă bine la punct si care ar conţine următoarele componente: algoritmi
criptografici simetrici, asimetrici, de funcţii dispersive, de semnătură digitală si de o
infrastructură a cheilor necesare.
În practică, când apare problema implementării unui astfel de sistem, se poate de
mers pe două căi: alegerea unui sistem existent sau crearea unuia nou. Fiecare dintre aceste
căi are si avantaje si dezavantaje. Soluţiile existente au fost studiate prezent de specialişti în
domeniu si aplicate în practică deci ele sunt mult mai sigure de utilizat, problema este că nu
tot timpul aceste sisteme pot fi încadrate în sistemul nostru informaţional. Deci de multe ori
apare necesitatea creării unui sistem acordat la necesităţile noastre. Un astfel de sistem este
propus pentru transferul securizat de date între sisteme distribuite de informaţii. Acest sistem
este o soluţie eficientă pentru companiile(de diferit profil) care au o infrastructură distribuită
de informaţii. Avantajele aduse faţă de sistemele existente sunt flexibilitate, automatizare în
lucru si o securitate crescută (prin gestionarea locală a certificatelor digitale).
Sistemul criptografic hibrid propus permite crearea unor canale de comunicaţii
25
criptografiate pe reţeaua Internet si implementează o infrastructură locală de certificate
digitale. Acest tip de soluţie se poate de creat efectiv pe platforme de programare ca Java în
SDK si Microsoft .Net Framework.
3. Metode de securizare a reţelelor
3.1 Filtrarea accesului în reţea – firewall
Un firewall se poate defini ca fiind un paravan de protecţie ce poate ţine la
distanţă traficul Internet, de exemplu hackerii, viermii şi anumite tipuri de viruşi, înainte ca
aceştia să pună probleme sistemului. În plus, acest paravan de protecţie poate evita
participarea computerului la un atac împotriva altora, fără cunoştinţa utilizatorului.
Utilizarea unui paravan de protecţie este importantă în special dacă calculatorul
este conectat în permanenţă la Internet.
Figura 3.1.1 Funcţia primordială a unui firewall.
O altă definiţie – un firewall este o aplicaţie sau un echipament hardware care
monitorizează şi filtrează permanent transmisiile de date realizate între PC sau reţeaua locală
şi Internet, în scopul implementării unei "politici" de filtrare. Această politică poate însemna:
26
protejarea resurselor reţelei de restul utilizatorilor din alte reţele similare –
Internetul -> sunt identificaţi posibilii "musafiri" nepoftiţi, atacurile lor asupra PC-ului sau
reţelei locale putând fi oprite.
controlul resurselor pe care le vor accesa utilizatorii locali.
Mod de funcţionare:
De fapt, un firewall, lucrează îndeaproape cu un program de routare, examinează
fiecare pachet de date din reţea (fie cea locală sau cea exterioară) ce va trece prin serverul
gateway pentru a determina dacă va fi trimis mai departe spre destinaţie. Un firewall include
de asemenea sau lucrează împreună cu un server proxy care face cereri de pachete în numele
staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie
sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi sunt instalate în faţa
routerelor.
Figura 3.1.2 O posibilă implementare a unui firewall.
Soluţiile firewall se împart în două mari categorii: prima este reprezentată de
soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua
unei întreprinderi (instituţii, serverele marilor companii publice) şi Internet; iar cea de a doua
categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe
calculatorul personal. Utilizând o aplicaţie din ce-a de a doua categorie se poate preântâmpina
atacurile colegilor lipsiţi de fair-play care încearcă să acceseze prin mijloace mai mult sau mai
puţin ortodoxe resurse de pe PC-ul dumneavoastră.
27
În situaţia în care dispuneţi pe calculatorul de acasă de o conexiune la Internet, un
firewall personal vă va oferi un plus de siguranţă transmisiilor de date. Cum astăzi majoritatea
utilizatorilor tind să schimbe clasica conexiune dial-up cu modalităţi de conectare mai
eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuşite asupra
sistemului dumneavoastră creşte. Astfel, mărirea lărgimii de bandă a conexiunii la Internet
facilitează posibilitatea de "strecurare" a intruşilor nedoriţi.
Astfel, un firewall este folosit pentru două scopuri:
pentru a păstra în afara reţelei utilizatorii rău intenţionati (viruşi, viermi
cybernetici, hackeri, crackeri)
pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea
Politici de lucru:
Înainte de a construi un firewall trebuie hotărâtă politica sa, pentru a şti care va fi
funcţia sa şi în ce fel se va implementa această funcţie.
Pentru a putea defini politica firewall-ului, sunt necesare unele răspunsuri la
următoarele întrebări:
ce servicii va deservi firewall-ul ?
ce grupuri de utilizatori care vor fi protejaţi ?
de ce fel de protecţie are nevoie fiecare grup de utilizatori ?
cum va fi protejat fiecare grup(detaliere privind şi natura serviciilor din cadrul
grupurilor)?
La final este necesar să se scrie o declaraţie prin care oricare alte forme de access
sunt o ilegalitate. Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să
fie simplă şi la obiect.
28
Figura 3.1.3 Diferite politici implementate într-un firewall
Clasificări:
Firewallurile pot fi clasificate după:
Layerul (stratul) din stiva de reţea la care operează
Modul de implementare
În funcţie de layerul din stiva TCP/IP (sau OSI) la care operează, firewall-urile
pot fi:
Layer 2 (MAC) şi 3 (datagram): packet filtering.
Layer 4 (transport): tot packet filtering, dar se poate diferenţia între
protocoalele de transport şi există opţiunea de "stateful firewall", în care sistemul ştie în orice
moment care sunt principalele caracteristici ale următorului pachet aşteptat, evitând astfel o
întreagă clasă de atacuri
Layer 5 (application): application level firewall (există mai multe denumiri). În
general se comportă ca un server proxy pentru diferite protocoale, analizând şi luând decizii
pe baza cunoştinţelor despre aplicaţii şi a conţinutului conexiunilor. De exemplu, un server
SMTP cu antivirus poate fi considerat application firewall pentru email.
29
Deşi nu este o distincţie prea corectă, firewallurile se pot împărţi în două mari
categorii, în funcţie de modul de implementare:
dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat
acestei operaţiuni şi este practic "inserat" în reţea (de obicei chiar după router). Are avantajul
unei securităţi sporite.
combinate cu alte facilităţi de networking. De exemplu, routerul poate servi şi
pe post de firewall, iar în cazul reţelelor mici acelaşi calculator poate juca în acelaţi timp rolul
de firewall, router, file/print server, etc.
Concluzii:
Un firewall poate să:
- monitorizeze căile de pătrundere în reţeaua privată, permiţând în felul acesta o
mai bună monitorizare a traficului şi deci o mai uşoară detectare a încercărilor de infiltrare;
- blocheze la un moment dat traficul în şi dinspre Internet;
- selecteze accesul în spaţiul privat pe baza informaţiilor conţinute în pachete.
- permită sau interzică accesul la reţeaua publică, de pe anumite staţii specificate;
- şi nu în cele din urmă, poate izola spaţiul privat de cel public şi realiza interfaţa
între cele două.
De asemeni, o aplicaţie firewall nu poate:
- interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a
acţiunii răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi
ataşamentele);
- interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces
prin dial-up ce nu trece prin router);
- apăra reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de
introducere a datelor în reţea (USB Stick, dischetă, CD, etc.)
- preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse
servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli.
30
Tehnologia firewall se bazează pe folosirea porturilor. Porturile nu sunt altceva
decât nişte numere plasate într-un anumit loc bine definit în pachetul de date. Fiecare aplicaţie
foloseşte anumite porturi deci anumite numere .
Figura 3.1.4 Configurări diferite privind implementarea unui firewall
Deşi un anumit serviciu poate avea un port asignat prin definiţie, nu există nici o
restricţie ca aplicaţia să nu poată asculta şi alte porturi. Un exemplu comun este cel al
protocolului de poştă electronică Simple Mail Transfer Protocol (SMTP). Acest serviciu are
portul asignat 25. Posibil ca furnizorul de internet să blocheze acest port pentru a evita
folosirea unui server de mail pe calculatorul propriu. Nimic nu ne opreşte însă să configurăm
un server de mail pe un alt port. Motivul principal pentru care anumite servicii au porturi
asignate implicit este acela ca un client să poată găsi mai uşor un anumit serviciu pe o gazdă
aflată la distanţă. Câteva exemple: serverele FTP ascultă portul 21; serverele HTTP sunt pe
portul 80; aplicaţiile client de genul File Transfer Protocol (FTP) folosesc porturi asignate
aleator de obicei mai mari ca 1023.
Există puţin peste 65000 porturi împărţite în porturi bine cunoscute (0–1023),
porturi înregistrate (1024–49151) şi porturi dinamice (49152–65535). Deşi sunt sute de
porturi cu aplicaţiile corespunzătore, în practică mai puţin de 100 sunt utilizate frecvent. în
31
tabelul 1 putem vedea cele mai frecvente porturi şi protocolul care îl foloseşte. Trebuie să
menţionăm că aceste porturi sunt primele vizate de un spărgător pe calculatorul victimei.
Tabel 1 Porturi comune şi protocoale
Port Serviciu Protocol
21 FTP TCP
22 SSH TCP
23 Telnet TCP
25 SMTP TCP
53 DNS TCP/UDP
67/68 DHCP UDP
69 TFTP UDP
79 Finger TCP
80 HTTP TCP
88 Kerberos UDP
110 POP3 TCP
111 SUNRPC TCP/UDP
135 MS RPC TCP/UDP
139 NB Session TCP/UDP
161 SNMP UDP
162 SNMP Trap UDP
389 LDAP TCP
443 SSL TCP
445 SMB over IP TCP/UDP
1433 MS-SQL TCP
O bună practică de siguranţă este blocarea acestor porturi dacă nu sunt folosite. Se
recomandă folosirea practicii least privilege. Acest principiu constă în acordarea accesului 32
minimal, strict necesar desfăşurării activităţii unui serviciu. Să nu uităm că securitatea este un
proces fără sfârşit. Dacă un port este închis astăzi nu înseamnă ca va rămâne aşa şi mâine. Se
recomanda testarea periodică a porturilor active. De asemenea aplicaţiile au grade de
siguranţă diferite; SSH este o aplicaţie relativ sigură pe când Telnet-ul este nesigur.
Prezentarea firewall-ului inclus în Windows XP SP2
Figura 3.1.5 Windows firewall inclus odată cu Windows XP SP2
Componenta firewall are funcţia de a supraveghea comunicaţia sistemului precum
şi a aplicaţiilor instalate cu internetul sau reţeaua şi să blocheze în caz de nevoie conexiunile
nedorite. Ea asigură protecţia PC-ului împotriva pro-gramelor dăunătoare şi a hacker-ilor.
Spre deosebire de versiunea anterioară, Windows Firewall este activat în Service Pack 2
imediat după instalare şi blochează majoritatea programelor care comunică cu internetul. De
aceea, mulţi utilizatori preferă să îl dezactiveze în loc să îl configureze. Pentru o configurare
optima nu sunt necesare decât câteva setări de bază.
33
Dacă un program instalat împreună cu sistemul de operare încearcă să iniţieze o legătură la
internet sau la reţeaua internă, apare o fereastră de informare care întreabă cum doriţi să trataţi
această comunicare. Sunt la dispoziţie opţiunea de a bloca sau a permite conexiunea. În
funcţie de selecţie, firewall-ul din XP stabileşte automat o regulă. Dacă unei aplicaţii trebuie
să îi fie permis să realizeze legături, în registrul Exceptions se pot stabili reguli permanente
corespunzătoare. În meniul Programs se obţine o listă cu toate aplicaţiile instalate de sistemul
de operare, ale căror setări de conectare pot fi definite după preferinţe.
Aplicaţiile individuale nu sunt de multe ori enumerate în listă. Acestea pot fi
introduse în listă cu ajutorul opţiunii Add Program, indicând apoi calea spre executabil printr-
un clic pe Browse. Din motive de siguranţă se pot defini suplimentar, la Ports, ce interfeţe şi
ce protocol - TCP sau UDP - poate utiliza programul. În aceeaşi fereastră se află şi butonul
Change Scope, cu ajutorul căruia este posibilă introducerea de diverse adrese IP ale sistemelor
cu care programul are voie să realizeze o conexiune. Dacă aceste date nu sunt încă definite,
aplicaţia este în măsură să comunice pe toate porturile şi cu toate sistemele ceea ce, funcţie de
aplicaţie, are ca urmare diverse riscuri de securitate.Protecţia reţelei – anti-virus şi anti-
malware
Datorită conotației, se folosește termenul de virus pentru totalitatea malware-ului,
totuși pentru formele de prevenție se păstrează denumirile de: anti-viruşi, anti-malware, anti-
spyware, anti-adware şi anti-phishing.
Anti-viruşi
Scurt istoric: Majoritatea sunt de părere că primul software de tip antivirus este
atribuit lui Bernt Fix în 1987, aceasta fiind prima neutralizare a unui virus informatic(nume de
cod Viena), cel puţin prima documentată şi publicată. Începând cu anul 1988 încep să apara
primele companii care să produca software dedicat (Dr. Solomon’s Anti-Virus ToolKit,
AIDSTEST, AntiVir) urmat în 1990 de aproximativ 19 programe antivirus distincte, printre
care apar şi Norton AntiVirus (achiziţionat de Symantec în 1992) şi McAfee VirusScan.
Dacă înainte de răspândirea Internetului majoritatea infectărilor se făceau folosind
disketele, odată cu evoluţia interconectării între computere au început adevăratele probleme.
Autorii de viruşi au reuşit să-şi diversifice modalităţile de răspândire folosind aplicaţii uzuale
cum sunt editoarele de texte (macrourile scrise în diferite limbaje de programare puteau fi
rulate prin simpla deschidere cu aplicaţia corespunzătoare), programe de e-mail (Microsoft
34
Outlook Express, Outlook, etc), programe de tip chat (Yahoo messenger, MSN messenger),
etc.
Odată cu răspândirea pe scară largă a conexiunilor de tip broad-band, viruşii au
început să se înmulţească şi să se răspândească foarte rapid, astfel aplicaţiile de tip antivirus
fiind nevoite să-şi actualizeze dicţionarele odată la fiecare 5-10 minute. Cu toate acestea un
virus nou, poate să se răspândească cu o aşa viteză încât pâna la momentul depistării şi găsirii
modalităţii de neutralizare este posibil să infecteze foarte multe calculatoare (de ordinul
sutelor de mii sau chiar milioanelor), aici intervenind şi faptul că nu toti utilizatorii îşi
actualizează cât de des cu putinţă software-ul antivirus.
Ca metode de identificare a viruşilor deosebim:
1. identificarea bazată pe semnatură (signature based) este cea mai comună
variantă. Pentru identificarea viruşilor cunoscuţi fiecare fişier este scanat ca şi conţinut (întreg
şi pe bucăţi) în căutarea informaţiilor păstrate într-un aşa-numit dicţionar de semnături;
2. identificarea bazată pe comportament (malicious activity), în acest caz
aplicaţia antivirus monitorizează întregul sistem pentru depistarea de programe suspecte în
comportament. Dacă este detectată o comportare suspectă, programul respectiv este investigat
suplimentar, folosindu-se de alte metode (semnături, heuristic, analiză de fişier, etc.). Este de
menţionat că aceasta metodă poate detecta viruşi noi;
3. metoda heuristică (heurisitc-based) este folosită pentru detectarea viruşilor noi
şi poate fi efectuată folosind două variante(independent sau cumulat): analiza de fişier şi
emulare de fişier. Astfel analiză bazată pe analiza fişierului implică cautarea în cadrul acelui
fişier de instrucţiuni „uzuale” folosite de viruşi. Ex. Dacă un fişier are instrucţiuni pentru
formatarea discului, acesta este investigat suplimentar. O problemă a acestei variante este
necesitatea unor resurse foarte mari pentru analiza fiecărui fişier, rezultând în încetiniri
evidente ale sistemului. Cea de-a doua metodă este cea de emulare în care se rulează fişierul
respectiv într-un mediu virtual şi jurnalizarea acţiunilor pe care le face. În funcţie de aceste
jurnale, aplicaţia poate determina dacă este infectat sau nu acel fişier.
4. un mod relativ nou se bazează pe conceptul de semnături generice – ceea ce s-
ar traduce în posibilitatea de a neutraliza un virus folosindu-se de o semnătură comună.
Majoritatea viruşilor din ziua de astazi sunt aşa-numiţii – viruşi de mutaţie – ceea ce înseamnă
că în decursul răspândirii sale el îşi schimbă acea semnătură de mai multe ori. Aceste
35
semnături generice conţin informaţiile obţinute de la un virus şi în unele locuri se introduc
aşa-numitele wildcard-uri – caractere speciale care pot lipsi sau pot fi distincte – aplicaţia
software căutând în acest caz informaţii non-continue.
Anti-spyware
Ca răspuns la apariția aplicaţiilor de tip spyware, companiile care produceau
software de tip anti-virus au început să ofere şi aplicații (care apoi au devenit din ce în ce mai
complexe, integrând foarte multe module, pentru fiecare tip de malware) contra acestora.
Instalarea unei astfel de aplicații la momentul actual este considerată un „must-do” –
obligatorie intrând în categoria „nivel minim de securitate”. Deși ideea inițială a acestor
aplicații era spre beneficiul utilizatorilor în final – prin „culegerea” informațiilor care sunt cel
mai căutate, elocvente, ducând astfel la o dezvoltare naturală şi concretă a furnizorilor de
servicii online, abuzul a condus la interzicerea sa, în special prin faptul ca se efectuează de
cele mai multe ori fără acceptul utilizatorilor.
Anti-adware
Aplicațiile Anti-adware se referă la orice utilitar software care scanează sistemul şi oferă
posibilități de dezinfecție sau eliminare a diferitelor forme de malware gen: adware, spyware,
keyloggers, trojans, etc.. Unele dintre aceste programe sunt nedetectabile de către programele
antivirus instalate şi astfel se definește ca nivel minim de securitate alături de programele anti-
virus, anti-spyware şi, mai nou, anti-phishing.
Anti-phishing
Pe lângă câteva aplicaţii software care pot oferi o oarecare protecţie contra
efectelor de phising, se definesc şi alte posibilităţi, care se pot folosi şi pentru protecţia contra
virușilor, spyware-ului sau adware-ului şi anume: instruirea utilizatorilor. O astfel de tehnică
poate fi foarte eficientă, mai ales acolo unde această tehnică se bazează şi pe un feedback
puternic. Pentru aceasta este de menționat următoarele reguli ce trebuie urmărite:
- Folosirea de conexiuni sigure (https). Model prin care se impune ca toate
formele prin care se transmit date cu caracter confidențial să se realizeze într-un mod sigur.
- Care este sit-ul? Utilizatorul este așteptat să confirme adresa din bara de adrese
cum că acesta este efectiv sit-ul pe care voia să intre, sau sa-l folosească (şi nu altul, de ex.
www.banca.ro cu www.sitefantoma.banca.ro).
36
- folosirea de certificate şi verificarea lor. Deși necesită mai multe cunoștințe
această formă este foarte importantă prin prisma faptului că sunt oferite foarte multe
informații în acest certificat, informații care pot face ca acel site să devină „trusted” – credibil
pentru toate aplicațiile care se descarcă de pe el. Tot la aceste certificate trebuiesc verificate şi
autoritățile care le-au emis.
- click-ul la întâmplare: apăsarea la întâmplare pe butoanele care confirmă
anumite acțiuni, în speranța că vor dispărea anumite ferestre şi „lucrul va reveni la normal”
conduce la foarte mari breșe de securitate.
- lipsa de interes: este datorată în special firmelor care nu doresc să treacă la
diferite forme avansate de securizare şi certificare, forme care sunt deseori foarte costisitoare.
- forma de comunicație: deoarece modelul de securitate se bazează pe foarte mulți
participanți la comunicație: utilizatori, client de browser, dezvoltatori, auditori, webserver,
etc. face ca această formă de comunicare să fie foarte dificilă.
- abonarea la servicii care oferă liste cu sit-uri care au fost catalogate ca sit-uri
„fantomă” – au apărut foarte multe astfel de liste care vin să ajute utilizatorii prin
introducerea unui așa numit page ranking - sau rang de acreditare.
Observaţii: Este de reţinut că navigând la întâmplare se pot găsi o multitudine de
aplicaţii care să „pozeze” în aplicaţii de tip antivirus, antispyware sau antimalware – dar de
fapt să fie ele însele viruşi deghizaţi în aplicaţii legitime.
La fel de reţinut este faptul că, cu cât este mai mare dicţionarul de semnături cu
atât aplicaţia antivuris devine mai dependentă de resurse(procesor, memorie, timp).
Nu este indicat să se folosească mai multe aplicaţii antivirus instalate, de multe ori
acestea intrând în conflict, dar mai important, îngreunându-şi una alteia sarcina.
Este foarte importantă realizarea actualizării cât mai des a aplicaţiei anti-malware
instalate (fie ea antivirus, antispyware, antiadware, etc.) şi a sistemelor de operare pentru a
putea fi protejaţi măcar la nivel „normal”. Pentru suplimentarea modalităţilor de protecţie se
vor organiza diferite forme de instruire a persoanelor care fac administrare reţelei pentru a
putea fi „la zi” cu cunoştinţele şi noutăţile din domeniu.
37
Este foarte important şi stabilirea de diferite politici de lucru prin care să se
realizeze, periodic, verificări de jurnale, de aplicaţii instalate (poate sunt oferite îmbunătăţiri
la nivel de aplicaţie sau de securizare), de modalităţi de lucru.
3.2 Securizarea accesului printr-un router wireless
Prima reţea wireless a fost pusă în funcţiune în 1971 la Universitatea din Hawai
sub forma unui proiect de cercetare numit ALOHANET. Topologia folosită era de tip stea
bidirecţională şi avea ca noduri constituente un număr de şapte calculatoare împrăştiate pe
patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin
legături radio.
Figura 3.2.1 Posibilităţi de conectare wireless, de aici şi necesitatea securizării accesului
Iniţial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo
unde amplasarea de cabluri ar fi fost tehnic imposibilă. Ca şi în alte cazuri din istoria tehnicii
de calcul, primele soluţii produse pe scară largă au fost cele proprietare (nestandard) şi
orientate pe diverse nişe de piaţă, dar odată cu sfârşitul anilor ‘90 acestea au fost înlocuite de
cele standard şi generice cum ar fi cele descrise de familia de standarde 802.11 emise de
IEEE.
38
Versiunea iniţială a standardului IEEE 802.11 lansată în 1997 prevedea două
viteze (1 şi 2 Mbps) de transfer a datelor peste infraroşu sau unde radio. Transmisia prin
infraroşu rămâne până astăzi o parte validă a standardului, fără a avea însă implementări
practice.
Au apărut atunci cel puţin şase implementări diferite, relativ interoperabile şi de
calitate comercială, de la companii precum Alvarion (PRO.11 şi BreezeAccess-II),
BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus şi AirSurfer
Pro), Symbol Technologies (Spectrum24) şi Proxim (OpenAir). Un punct slab al acestei
specificaţii era că permitea o varietate mare a designului, astfel încât interoperabilitatea era
mereu o problemă. 802.11 a fost rapid înlocuit (şi popularizat) de 802.11b în 1999 ce aducea,
pe lângă multe îmbunătăţiri în redactare, şi o viteză crescută de transmisie a datelor de până la
11Mbps. Adoptarea pe scară largă a reţelelor 802.11 a avut loc numai după ce 802.11b a fost
ratificat ca standard, iar produsele diverşilor producători au devenit interoperabile.
Cam în aceeaşi perioadă (1999) a apărut şi 802.11a, o versiune pentru banda de
5GHz a aceluiaşi protocol. Acesta a fost urmat de 802.11g, în iulie 2003, ce aducea perfor-
manţe sporite, atât în ceea ce priveşte viteza de transmisie (ce urca la 54Mbps), cât şi distanţa
de acoperire în jurul antenei.
Standardul aflat în prezent în elaborare de către IEEE este 802.11n – acesta aduce
şi el îmbunătăţiri, cum ar fi o viteză teoretică de transmisie de 270Mbps.
Ca în cazul oricărei tehnici de transmisie sau comunicaţie care se dezvoltă rapid şi
ajunge să fie universal folosită, apare la un moment dat necesitatea de a implementa diverse
tehnici de protecţie a informaţiilor transmise prin reţelele de acest tip. În cazul 802.11,
securitatea se referă atât la topologia şi componenţa reţelei (i.e. asigurarea accesului nodurilor
autorizate şi interzicerea accesului celorlalte în reţea), cât şi la traficul din reţea (i.e. găsirea şi
folosirea unei metode de securizare a datelor, de criptare, astfel încât un nod care nu este parte
din reţea şi care, deci, nu a fost autentificat să nu poată descifra „conversaţiile” dintre două
sau mai multe terţe noduri aflate în reţea). Un ultim aspect al securităţii îl constituie
autentificarea fiecărui nod, astfel încât orice comunicaţie originară de un nod să poată fi ve-
rificată criptografic sigur ca provenind, într-adevăr, de la nodul în cauză.
39
Figura 3.2.2 Posibilităţi de conectare folosind conexiuni wireless
Primele tehnici de securitate ce au fost folosite în astfel de reţele au fost cele din
clasa „security by obscurity”, adică se încerca atingerea siguranţei prin menţinerea secretă a
specificaţiilor tehnice şi/sau prin devierea de la standard – nu de puţine ori în măsură consi-
derabilă. Aceste tehnici însă, au adus în mare parte neajunsuri implementatorilor, deoarece
făceau echipamentele diferiţilor producători vag interoperabile. Alte probleme apăreau din
însăşi natura proprietară a specificaţiilor folosite de aceste echipamente.
Filtrarea MAC
O formă primară de securitate este filtrarea după adresa MAC (Media Access
Control address), cunoscută sub denumiri diverse precum Ethernet hardware address (adresă
hardware Ethernet), adresă hardware, adresa adaptorului de reţea (adaptor - sinonim pentru
placa de reţea), BIA - built-in address sau adresa fizică, şi este definită ca fiind un
identificator unic asignat plăcilor de reţea de către toţi producătorii.
Adresa MAC constă într-o secvenţă numerică formată din 6 grupuri de câte 2 cifre
hexadecimale (în baza 16) de tipul 00-0B-E4-A6-78-FB. Primele 3 grupuri de câte două
caractere (în acest caz 00-0B-E4) identifică întotdeauna producătorul plăcii de reţea (RealTek,
Cisco, Intel, VIA, etc.), iar următorii 6 digiţi identifică dispozitivul în sine.
40
Dacă într-o primă fază această adresă era fixată, noile adrese se pot modifica,
astfel această formă de securizare îşi pierde din valabilitate. Noile dispozitive pot să-şi
modifice aceasta secvenţă numerică doar prin intermediul driverului folosit. Este de reţinut că
această adresă MAC este în continuare unică, doar că driverul folosit poate face această
convenţie, fără a exista posibilitatea de a modifica această adresă şi la nivel fizic, real.
Astfel acum există riscul de ca prin aflarea unui MAC valid din cadrul unei reţele,
folosind un program de tip snnifer, şi schimbându-şi MAC-ul în cel nou (clonând la nivel
software prin intermediul driverului folosit placa cu MAC-ul aflat), atacatorul va putea avea
acces legitim, fiind autentificat în cadrul reţelei. Dar totuşi mulţi administratori folosesc în
continuare aceasta formă de securizare, datorită formei foarte simple de implementare, motiv
pentru care este absolut necesar ca această formă de parolare să se completeze şi cu alte
modalităţi de securizare enunţate în continuare.
Tehnicile de generaţia întâi (WEP)
Prima tehnică de securitate pentru reţele 802.11 ce a fost cuprinsă în standard
(implementată de marea majoritate a producătorilor de echipamente) a fost WEP - Wired
Equivalent Privacy. Această tehnică a fost concepută pentru a aduce reţelele radio cel puţin la
gradul de protecţie pe care îl oferă reţelele cablate – un element important în această direcţie
este faptul că, într-o reţea 802.11 WEP, participanţii la trafic nu sunt protejaţi unul de celălalt,
sau, altfel spus, că odată intrat în reţea, un nod are acces la tot traficul ce trece prin ea. WEP
foloseşte algoritmul de criptare RC-4 pentru confidenţialitate şi algoritmul CRC-32 pentru
verificarea integrităţii datelor. WEP a avut numeroase vulnerabilităţi de design care fac
posibilă aflarea cheii folosite într-o celulă (reţea) doar prin ascultarea pasivă a traficului
vehiculat de ea. Prin metodele din prezent, o celulă 802.11 WEP ce foloseşte o cheie de 104
biţi lungime poate fi „spartă” în aproximativ 3 secunde de un procesor la 1,7GHz.
Tehnicile de generaţia a doua (WPA, WPA2)
Având în vedere eşecul înregistrat cu tehnica WEP, IEEE a elaborat standardul
numit 802.11i, a cărui parte ce tratează securitatea accesului la reţea este cunoscută în practică
şi ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice şi private,
mesaje cu cod de autentificare (MAC), precum şi metode extensibile de autentificare, cum ar
fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni în întâmpinarea utilizatorilor
casnici sau de arie restrânsă, IEEE a dezvoltat şi o variantă mai simplă a standardului şi
anume WPA-PSK (< Pre-Shared Key mode). În acest mod, în loc de un certificat şi o pereche
41
de chei (publică şi privată), se foloseşte o singură cheie sub forma unei parole care trebuie
cunoscută de toţi membrii reţelei(parolă ce poate fi de 64 sau 128 de biţi).
Totuşi nici această formă de securizare nu este invincibilă din cauza unor erori în
algoritmii de criptare care pot face ca această cheie să poată fi restransă, în urma unor date
suficiente, la o rafinare a căutărilor, ce poate face spargerea sa într-un timp relativ scurt (de
ordinul zilelor).
Odată cu apariţia unor tehnici şi metode avansate de securizare a accesului la
mediul de transmisie, s-a făcut simţită şi nevoia de a administra o astfel de structură de
autentificare dintr-o locaţie centrală, aşa numita centralizare a accesului şi managementului.
Aşa se face că tot mai multe dispozitive de tip Access Point (echipamentele ce fac legătura
dintre reţeaua cablată şi cea transportată prin unde radio, având un rol primordial în
menţinerea securităţii reţelei) pot fi configurate automat dintr-un punct central. Există chiar
seturi preconfigurate de echipamente ce sunt destinate de către producător implementării de
hotspot-uri (locuri unde se poate beneficia de acces la Internet prin 802.11 gratis sau contra
cost). Aceste seturi conţin de obicei un echipament de gestiune a reţelei, o consolă de
administrare, un terminal de taxare şi unul sau mai multe Access Point-uri. Atunci când sunt
puse în funcţiune, acestea funcţionează unitar, accesul şi activitatea oricărui nod putând fi
atent şi în detaliu supravegheată de la consola de administrare.
Imediat după perfectarea schemelor de administrare centralizată a securităţii în
reţelele 802.11, a apărut necesitatea integrării cu sistemele de securitate ce existau cu mult
înainte de implementarea reţelei 802.11 în acel loc. Această tendinţă este naturală; cu cât
interfaţa de administrare a unui sistem alcătuit din multe componente este mai uniformă, cu
atât administrarea sa tinde să fie mai eficientă şi mai predictibilă – ceea ce duce la creşterea
eficienţei întregului sistem.
42
Figura 3.3.3 Necesitatea securizării unei reţele wireless
WPA a fost prima tehnologie care a facilitat integrarea pe scară largă a
administrării reţelelor radio cu cele cablate, deoarece se baza pe principii comune descrise de
standardul 802.1X. Astfel, o companie poate refolosi întreaga infrastructură pentru auten-
tificarea şi autorizarea accesului în reţeaua sa cablată şi pentru reţeaua radio. WPA poate fi
integrat cu RADIUS, permiţând astfel administrarea şi supravegherea unei reţele de
dimensiuni mari ca şi număr de noduri participante la trafic (e.g. un campus universitar, un
hotel, spaţii publice) dintr-un singur punct, eliminând astfel necesitatea supravegherii fizice a
aparaturii de conectare (i.e. porturi de switch).
Datorită scăderii corturilor echipamentelor de reţea şi dezvoltării foarte rapide
produselor destinate creării şi configurării unei reţele wireless s-a impus introducerea de
standarde care să asigure compatibilitatea şi unitatea definirii modelelor de reţele wireless.
Standardul IEEE (Institute of Electrical and Electronic Engineers) 802.11 este un
set de standarde pentru reţele de tip WLAN(wireless local area network). Din cadrul acestui
standard cel mai uzual este IEEE 802.11b, numit şi Wi-Fi – folosind acest standard se pot
trimite date cu 1, 2, 5.5 sau 11Mbps folosind banda de 2.4-2.5 GHz. Pentru condiţii ideale,
distanţele scurte, fără surse care să atenueze sau să interfereze standardul IEEE 802.11b
operează la 11Mbps, mai mult decât poate oferi standardul “cu fir” Ethernet(10Mbps). În
condiţii mai puţin ideale, conexiuni folosind vireze de 5.5, 2 sau chiar 1Mbps sunt folosite.
43
Standardul IEEE 802.11 mai are şi componentele IEEE 802.11a – cu o rată
maximă de transfer de 54Mbps, folosind frecvenţe de 5Ghz – de aceea oferind un semnal mai
curat şi o rată de transfer mai mare, şi standardul IEEE 802.11g – care are aceeaşi rată
maximă de transfer de 54Mbps, folosind frecvenţe în banda S ISM.
Cel mai nou standard inclus este IEEE 802.11n – care încă nu a fost implementat
final – el având următoarele limitări teoretice: rată maximă de transfer de 600 Mbps,
funcţionare în benzile de frecvenţă 5GHz şi/sau 2.4 GHz şi o rază de acţiune în interior de ~
300m. Acest standard se preconizează a se lansa oficial în 2010.
În standardul IEEE 802.11 se deosebesc două moduri de operare: modul
infrastructură sau mdul ad-hoc.
Modul infrastructură este folosit pentru a conecta calculatoare folosindu-se
adaptoare wireless la o reţea legată „prin fire”. Ca exemplu: o firmă poate avea deja o reţea
Ethernet cablată. Folosindu-se de modul infrastructură un laptop sau un alt calculator care nu
are o conectare Ethernet cablată se poate conecta totuşi la reţeaua existentă folosind un nod de
reţea denumit Access Point – AP – pentru a realiza un „bridge” (pod) între reţeaua cablată şi
reţeaua wireless.
Figura 3.3.4 Modul „infrastructură” pentru o reţea wireless.
În cadrul acestui mod funcţional datele care sunt transmise de un client wireless
către un client din reţeaua cablată sunt mai întâi preluate de AP care trimite la rândul lui
datele mai departe.
Modul funcţional „Ad-hoc”
44
Acest mod de conectare este folosit pentru conectarea directă a două sau mai multe
calculatoare, fără a mai fi nevoie de un AP(fără necesitatea unui echipament distinct de
comunicare). Acest mod de comunicare totuşi este limitat la 9 clienţi, care pot să-şi trimită
datele direct între ei.
Figura 3.3.5 Reprezentarea modulului „Ad-hoc”
Pentru configurarea unei reţele wireless de tip „infrastructură” sunt necesare a se
parcurge următoarele etape (denumirile pot diferi de la un producător al echipamentului la
altul):
a) Wireless Mode: Partea de wireless poate funcţiona în mai multe
moduri şi poate diferi funcţie de producător sau versiune de firmware.
Modurile pot fi:
- AP (Access Point), este modul cel mai des utilizat, fiind specific modului
Infrastructure, în care două device-uri wireless nu sunt conectate direct, ci prin intermediul
routerului sau Access Point-ului.
- Client, în acest mod partea radio conectează wireless portul WAN din router la
un punct distant. Se foloseşte de exemplu în cazul unei conexiuni wireless cu providerul.
- Ad-Hoc, în acest mod clienţii se pot conecta direct intre ei :) , conexiunea
dintre ei nu mai trece prin router.
- Client Bridged, în acest mod partea radio conecteaza wireless partea LAN a
routerului cu un punct distant. Astfel partea LAN va fi în aceeaşi reţea cu partea LAN a
punctului distant.
45
b) Wireless Network Mode: Standardul conexiunii wireless (B, G sau
A) ales trebuie să fie suportat atat de router cât şi de device-urile wireless din reţea. În banda
de 2,4 Ghz pot fi folosite standardele B şi G, iar în banda de 5 GHz standardul A. Viteza
maximă pentru standardul B este 11 Mbps, iar pentru G şi A este 54 Mbps. Dacă în reţea aveţi
device-uri care folosesc standarde diferite puteţi seta Mixed.
c) SSID (Security Set Identifier) sau Wireless Network Name: este
numele asociat reţelei wireless. Default acest parametru este setat cu numele producătorului
sau modelul de router sau Access Point. Din motive de securitate modificaţi această valoare
cu un termen fară legătura cu producatorul, modelul sau date personale.
d) Wireless Chanel: Puteti seta unul din cele 13 canale disponibile
pentru Europa.
e) Wireless Broadcast SSID: dacă setati Enable veţi afişa numele
(SSID) în reţea. Dacă este Disable când veţi scana spectrul, reţeaua nu va fi afişată.
Odată parcurse etapele de mai sus reţeaua este creată – dar nu are setată nici o
securitate. Este foarte important să se configureze şi această parte de securitate.
Astfel pentru securizarea unei reţele avem opţiunile:
WEP (Wired Equivalent Protection) este o metodă de criptare:
- folosind 64 biti (10 caractere hexa) sau 128 biti (26 caractere hexa).
Caracterele hexa sunt: 0-9 şi A-F;
- autentificare Open sau Shared Key.
Acum aceasta criptare WEP cu 64 biti poate fi spartă în câteva minute, iar cea cu
128 biţi în câteva ore, folosind aplicaţii publice.
WPA-PSK (WPA Preshared Key sau WPA-Personal) este o metodă mult mai
sigură decât WEP. WPA2 este metoda cea mai sigură de criptare, fiind o variantă
îmbunătăţită a metodei WPA. Şi aceste criptări (WPA şi WPA2) pot fi sparte dacă parola
conţine puţine caractere sau este un cuvânt aflat în dicţionar. Pentru a face imposibilă
spargerea acestei criptări folosiţi parole lungi, generate aleator.
Filtrarea MAC, prezentată mai sus este în continuare folosită pe scară largă,
oferind acel minim minimorum necesar securizării la nivel minimal. Această formă de
securizare implică introducerea într-o listă de acces a tuturor adreselor MAC ale
dispozitivelor ce se doresc a fi interconectate. Dispozitivele care se pot conecta la aceste
echipamente (AP sau routere wireless) s-au diversificat în ultimul timp foarte mult, de la
46
clasicile calculatoare sau laptopuri, ajungând la console de jocuri, telefoane, sisteme
multimedia, imprimante sau echipamente de nişă gen televizoare, figidere sau rame foto.
Pentru definirea unei reţele wireless bazată pe modelul ad-hoc nu sunt necesare
echipamente distincte (router sau access point). Pentru acest mod nu sunt necesare decât că
dispositivele ce se doresc a se conecta să conţină un adaptor wireless funcţional. Toate
dispozitivele de acest gen au opţiunea de „ad-hoc”, opţiune care trebuie selectată pe toate
dispozitivele ce se doresc a se conecta.
Un exemplu privind o astfel de reţea este prezentat în figura 4.3.6.
Diferenţa între aceste dispzitive vine de la faptul că există un număr limitat de
conexiuni posibile (9 la număr) care pot fi integrate în acelaşi timp în reţea. Avantajele unor
astfel de conexiuni se bazează în special pe faptul că se pot realiza conexiuni de viteză mare,
cauza fiind de obicei distanţa mică între echipamente, fapt ce conduce la pierderi mici de
pachete transmise.
Figura 3.3.6 Exemplu privind o reţea bazată pe modelul „Ad-hoc”.
47
4. Vulnerabilitatea reţelelor
O reţea de calculatoare este o structura deschisa la care se pot conecta noi tipuri de
echipamente. Acest lucru conduce la o lărgire necontrolată a cercului utilizatorilor cu acces
nemijlocit la resursele reţelei.
Vulnerabilitatea reţelelor se manifestă pe două planuri:
posibilitatea modificării sau distrugerii informaţiei, adică atacul la integritatea
ei fizica;
posibilitatea folosirii neautorizate a informaţiilor, adică scurgerea lor din cercul
de utilizatori stabilit.
Trebuie avute in vedere, cu prioritate, doua aspecte legate de securitatea
informatică:
integritatea resurselor unei reţele, adică disponibilitatea lor indiferent de
defectele de funcţionare, hard sau soft, de încercările ilegale de sustragere a informaţiilor
precum si de încercările de modificare a informaţiilor;
caracterul privat, adică dreptul individual de a controla sau influenţa ce
informaţie referitoare la o persoană, poate fi memorata in fişiere sau baze de date şi cine are
acces la aceste date.
O reţea sigură este aceea în ale cărei componente (resurse şi operaţii) se poate
avea încredere, adică furnizează servicii de calitate şi corecte. Deoarece o reţea este alcătuită
din componente diferite ea reprezintă o zona convenabilă pentru diferite atacuri sau operaţii
ilegale, lucru care conduce la concluzia că protecţia a devenit unul din aspectele operaţionale
vitale ale unei reţele.
Securitatea şi în special caracterul privat trebuie să constituie obiectul unei analize
atente în cazul reţelelor. Reţelele sunt ansambluri complexe de calculatoare. Este foarte dificil
să se obţină o schemă completă a tuturor entităţilor si operaţiilor existente la un moment dat,
astfel încât reţelele sunt vulnerabile la diferite tipuri de atacuri sau abuzuri. Complexitatea
este generată de dispersarea geografică, uneori internaţională a componentelor (nodurilor)
reţelei, implicarea mai multor organizaţii in administrarea unei singure reţele, existenta unor
48
tipuri diferite de calculatoare şi sisteme de operare, existenţa unui număr mare de entităţi. În
viitorul imediat, reţelele de calculatoare vor deveni o parte esenţială din viaţa sociala şi
individuală. De funcţionarea lor corectă depinde activitatea guvernamentală, comercială,
industrială şi chiar personală. Pe măsură ce calculatoarele personale pot fi conectate de acasă
în reţele, o serie de activităţi pot fi făcute de persoane particulare. Trebuie avute în vedere
tipurile de date pe care persoanele le pot citi, care sunt celelalte persoane cu care pot
comunica, la ce programe au acces. Tot mai multe informaţii memorate in fişiere devin
posibil de corelat prin intermediul reţelelor. Aceasta asociere de fişiere privind persoanele
poate avea consecinţe nefaste asupra caracterului privat individual. Informaţia este vulnerabilă
la atac, în orice punct al unei reţele, de la introducerea ei până la destinaţia finală. În
particular, informaţia este mai susceptibilă la atac atunci când trece prin liniile de comunicaţii.
Măsurile puternice de control ale accesului, bazate pe parole, scheme de protecţie în sisteme
de operare, fac mai atractive asupra liniilor reţelei decât asupra calculatoarelor gazda.
4.1 Categorii de atacuri asupra reţelelor
Ameninţările la adresa securităţii unei reţele de calculatoare pot avea următoarele
origini: dezastre sau calamităţi naturale, defectări ale echipamentelor, greşeli umane de
operare sau manipulare, fraude. Câteva studii de securitate a calculatoarelor estimează că
jumătate din costurile implicate de incidente sunt datorate acţiunilor voit distructive, un sfert
dezastrelor accidentale şi un sfert greşelilor umane. În ameninţările datorate acţiunilor voite,
se disting două categorii principale de atacuri: pasive si active.
Atacuri pasive – sunt acelea în cadrul cărora intrusul observa informaţia ca trece prin
“canal” fără să interfereze cu fluxul sau conţinutul mesajelor. Ca urmare se face doar analiza
traficului, prin citirea identităţii părţilor care comunică şi “învăţând” lungimea şi frecvenţa
mesajelor vehiculate pe un anumit canal logic, chiar dacă conţinutul este neinteligibil.
Atacurile pasive au următoarele caracteristici comune:
nu cauzează pagube (nu se şterg sau se modifica date);
încalcă regulile de confidenţialitate;
obiectivul este de a “asculta” datele schimbate prin reţea;
pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legăturilor
telefonice sau radio, exploatarea radiaţiilor electromagnetice emise, rutarea datelor
prin noduri adiţionale mai puţin protejate.
49
Atacuri active - sunt acelea în care intrusul se angajează fie în furtul mesajelor, fie în
modificarea, reluarea sau inserarea de mesaje false. Aceasta înseamnă că el poate şterge,
întârzia sau modifica mesaje, poate sa facă inserarea unor mesaje false sau vechi, poate
schimba ordinea mesajelor, fie pe o anumită direcţie, fie pe ambele direcţii ale unui canal
logic. Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul, a datelor sau
a sistemelor de comunicaţii. Există următoarele tipuri de ameninţări active:
mascarada – este un tip de atac in care o entitate pretinde a fi o alta entitate. De
exemplu, un utilizator încearcă să se substituie altuia sau un serviciu pretinde a fi un alt
serviciu, în intenţia de a lua date secrete (numărul cărţii de credit, parola sau cheia
algoritmului de criptare). O “mascaradă” este însoţită, de regulă de o altă ameninţare activa,
cum ar fi înlocuirea sau modificarea mesajelor;
reluarea – se produce atunci când un mesaj sau o parte a acestuia este reluata
(repetată), în intenţia de a produce un efect neautorizat. De exemplu este posibilă reutilizarea
informaţiei de autentificare a unui mesaj anterior. În conturile bancare, reluarea unităţilor de
date implică dublări si/sau alte modificări nereale ale valorii conturilor;
modificarea mesajelor – face ca datele mesajului sa fie alterate prin modificare,
inserare sau ştergere. Poate fi folosită pentru a se schimba beneficiarul unui credit. O altă
utilizare poate fi modificarea câmpului destinatar/expeditor al poştei electronice;
refuzul serviciului – se produce când o entitate nu izbuteşte să îndeplinească
propria funcţie sau când face acţiuni care împiedică o altă entitate de la îndeplinirea propriei
funcţii;
repudierea serviciului – se produce când o entitate refuză să recunoască un
serviciu executat. Este evident că în aplicaţiile de transfer electronic de fonduri este important
să se evite repudierea serviciului atât de către emiţător, cât şi de către destinatar.
În cazul atacurilor active se înscriu si unele programe create cu scop distructiv si
care afectează, uneori esenţial, securitatea calculatoarelor. Exista o terminologie care poate fi
folosita pentru a prezenta diferitele posibilităţi de atac asupra unui sistem. Acest vocabular
este bine popularizat de “poveştile” despre “hackeri”. Atacurile presupun, in general, fie
citirea informaţiilor neautorizate, fie distrugerea parţială sau totala a datelor sau chiar a
calculatoarelor. Ce este mai grav este posibilitatea potenţială de infestare, prin reţea sau chiar
copieri de dischete, a unui mare număr de maşini. Dintre aceste programe distructive amintim
următoarele:
50
viruşii – reprezintă programe inserate în aplicaţii care se multiplică singure în
alte programe din spaţiul rezident de memorie sau de pe discuri. Apoi fie saturează complet
spaţiul de memorie/disc şi blochează sistemul, fie după un număr fixat de multiplicări, devin
activi si intră într-o fază distructivă;
bomba software - este o procedura sau parte de cod inclusa intr-o aplicaţie
"normala", care este activata de un eveniment predefinit. Autorul bombei anunţă evenimentul,
lăsând-o să "explodeze", adică să facă acţiunile distructive programate;
viermii - au efecte similare cu cele ale bombelor şi viruşilor. Principala
diferenţă este aceea ca nu rezida la o locaţie fixă sau nu se duplică singuri. Se muta în
permanentă, ceea ce îi face dificil de detectat. Cel mai renumit exemplu este Viermele
internetului-ului, care a scos din funcţiune o parte din internet în noiembrie 1988;
trapele - reprezintă accese speciale la sistem, care sunt rezervate în mod normal
pentru proceduri de încărcare de la distanţă, întreţinere sau pentru dezvoltatorii unor aplicaţii.
Ele permit însă accesul la sistem, eludând procedurile de identificare uzuale;
Calul Troian - este o aplicaţie care are o funcţie de utilizare foarte cunoscută şi
care, într-un mod ascuns, îndeplineşte şi o altă funcţie. Nu creează copii. De exemplu, un
hacker poate înlocui codul unui program normal de control "login" prin alt cod, care face
acelaşi lucru, dar, adiţional, copiază într-un fişier numele şi parola pe care utilizatorul le
tastează în procesul de autentificare. Ulterior, folosind acest fişier, hacker-ul va penetra foarte
uşor sistemul.
4.2 Hackerii
Hackerii sunt pasionaţi ai informaticii, care, de obicei au ca scop „spargerea”
anumitor coduri, baze de date, pagini web etc. Ei sunt consideraţi infractori, in majoritatea
statelor lumii. Hackerii adevăraţi nu „distrug”, de obicei, pagini inofensive, cum ar fi paginile
personale. Ţintele obişnuite ale atacurilor hackerilor sunt sistemele importante, care au
protecţii avansate si conţin informaţii strict secrete, cum ar fi bazele de date ale Pentagonului
sau cele de la NASA. Odată obţinute, aceste fişiere (informaţii) sunt publicate pe tot Internet-
ul, pentru a fi vizionate sau folosite de cat mai multe persoane. Orice hacker adevărat trebuie
sa respecte un „Cod de legi al hackerilor”, care este bine stabilit, cunoscut si respectat.
Hackeri amatori: Exista „hackeri” care atacă ţinte aleatoare, oriunde si oricând au
ocazia. De exemplu, atacurile tot mai frecvente asupra Yahoo si Hotmail au blocat motoarele
de căutare si conturile de mail respective pentru câteva zile, aducând prejudicii de milioane de
dolari. Aceste atacuri (care reprezintă o încălcare destul de grava a „Codul de legi al
51
hackerilor”) au de obicei in spate persoane care „au fost curioşi numai sa vadă ce se întâmpla”
sau „au dorit sa se distreze”. Aceşti atacatori virtuali nu sunt hackeri adevăraţi, pentru ca nu-si
scriu singuri programele cu care ataca, procurându-le de pe Internet sau din alte surse. Aceşti
hackeri amatori sunt singurii care ajung in fata justiţiei. Motivul este simplu. Acei hackeri
adevăraţi care îşi pot scrie singuri programele cu care ataca, sunt, de obicei destul de
inteligenţi pentru a face anumite sisteme care sa inducă in eroare pe toţi aceea care ar încerca
sa determine sursa atacului.
Crackeri: Crackerii reprezintă un stil anumit de hacker, care sunt specializaţi in
„spargerea” programelor shareware, sau care necesita un anumit cod serial. Singurii care sunt
prejudiciaţi de aceasta categorie de hackeri sunt cei care scriu si proiectează programele
„sparte”. Sistemele de protecţie ale aplicaţiilor respective pot fi „înfrânte” prin doua metode:
Introducerea codului, care poate fi găsit fie pe internet, fie cu ajutorul unui program special. A
doua metoda este folosita pentru sistemele de protecţie mai avansate, care necesita chei
hardware (care se instalează pe porturile paralele ale computerului si trimit un semnal codat
de cate ori le este cerut de către programul software), sunt patch-urile. Ele sunt programele
care sunt făcute special pentru anumite aplicaţii software, care odată lansate modifica codul
executabil, inhibând instrucţiunile care cer cheia hardware. Patch-urile si bibliotecile de
coduri seriale se găsesc cel mai des pe Internet. Ele sunt făcute de anumite persoane (care sunt
câteodată foşti angajaţi ai firmelor care au scris software-ul respectiv) care vor doar sa aducă
pagube firmei proiectante. Deşi pare ciudat, cracking-ul este considerata „piraterie
computerizata”, reprezentând o infracţiune serioasă. Totuşi, foarte rar sunt depistaţi cei care
plasează patch-uri si coduri seriale pe Internet.
Hackerii adevăraţi îşi scriu singuri software-ul ce le e necesar. Multe dintre aceste
programe, după ce sunt testate, sunt publicate pe Internet. Bineînţeles, programele folosite
pentru „spargerea” serverelor de la Pentagon sau pentru decodarea fişierelor codate pe 64 biţi
nu se vor găsi aşa de uşor pe internet, ele fiind ţinute secrete de realizatorii lor.
4.3 Mass E - Mail-eri
Mass E - Mail-eri sau spameri sunt acei hackeri care transmit cantităţi enorme de
e-mail (sau alt fel de informaţii), conţinând oferte nesolicitate, sau informaţii aleatoare,
transmise in scopul de a bloca anumite servere. Majoritatea site-urilor importante cum ar fi
Yahoo, Amazon.com sau Hotmail au anumite sisteme de filtrare care ar trebui sa protejeze
serverele respective de atacurile cu cantităţi enorme de informaţii. Aceste capcane sunt însă
uşor de evitat. In ultimul timp serverele precizate mai sus precum si multe altele au fost
52
supuse la puternice „atacuri cu informaţii”, la care nu puteau face fata. S-au trimis mesaje la o
capacitate de aproape un MB/secunda, deşi serverele respective suportau un trafic obişnuit de
pana la 1 - 1,5 GB săptămânal. Spamerii, prin atacurile lor prejudiciază cu sute de milioane de
dolari serverelor ţintă. Tot odată sunt afectaţi si utilizatorii serverelor respective, traficul fiind
complet blocat, trimiterea sau primirea mesajele sau utilizarea altor servicii asemănătoare
fiind imposibila.
Cum se pot trimite cantităţi atât de mari de informaţii, la o viteza uimitoare, fără ca
hackerii respectivi sa fie localizaţi fizic. Este relativ simplu pentru ei: transmit mesajele de pe
aproximativ 50 de adrese de mail, după care deviază informaţia transmisa prin mai multe
puncte din lume (diferite servere). Astfel, este foarte de greu sa fie detectaţi, echipele de
specialişti de la FBI lucrând săptămâni (chiar luni) întregi pentru a prinde infractorul virtual,
de multe ori neajungând la rezultate concrete. Singura problema (a hackerilor) care apare in
cazul acestor devieri succesive ale informaţiei este aceea ca unul din serverele prin care
„trece” informaţia in drumul ei către „ţinta” finala se poate bloca. Informaţia nu va ajunge in
întregime la destinaţie, puterea atacului scăzând substanţial. Astfel de cazuri se pot considera
atacurile din ultimul timp, serverele afectate nefiind cele vizate de hackeri.
4.4 Protecţii împotriva hackerilor
Acestea probleme sunt importante pentru foarte mulţi utilizatori de computere,
care utilizează in mod regulat Internet-ul. Exista protecţii împotriva atacurilor hackerilor.
Singura problema este aceea ca regulile si protecţiile sunt făcute pentru a fi încălcate. Deci,
oricât de complexe si de sigure ar părea sistemele dumneavoastră de securitate, ele pot fi
ocolite si „sparte”. Exista totuşi anumite metode care, deocamdată, ar putea îngreuna puţin
viaţa hackerilor, mai ales a spammeri-lor (acesta fiind cel mai folosit in ultimul timp). Aceste
ar trebui in primul rând aplicate de providerii de Internet (ISP): Vor trebui eliminate toate
fişierele necunoscute de pe servere (care ar uşura atacurile hackerilor), astfel încât se va tine o
stricta evidenta a lor. Eliminarea pachetelor care au alt header decat propria adresa de IP
(pachete măsluite). Ele pot fi folosite de unii utilizatori sub pretextul necesitării anonimatului.
Exista însă alte modalităţii de aţi păstra anonimatul, folosind sisteme de criptare si a unor
servere specializate. Interzicerea comportamentelor specifice scanării porturilor. Astfel se pot
dezactiva programele care scanează zeci de mii de porturi din întreaga lume, pentru a face o
lista cu cele vulnerabile. Scanarea atenta a serverelor de „sniffere”, programele care reţin
informaţiile importante care intra si ies dintr-un server (username-uri, parole, numere de cărţi
de credit etc). Pe lângă metodele de protecţie prezentate mai sus exista si multe, multe altele,
53
mai mult sau mai puţin vulnerabile. Până la aducerea securităţii la un nivel acceptabil mai este
mult de lucru.
54
