Andrei Creosteanu

Grupa i201

Securitatea informatiei
- pagina 1 -
Andrei Creosteanu
Grupa i201

Cuprins

1. Securitatea informatiei
2. Procesul de securizare al unei retele
3. Prezentarea portal-ului bcr.ro si a solutiilor de securitate adoptate
4. Securitatea wireless

Securitatea informatiei
- pagina 2 -
Andrei Creosteanu
Grupa i201

ajutat sa-si dezvolte afacerea, dar, pe

de alta parte, amenintarea era prea
dura, iar el nu cunostea pe nimeni in
1. Securitatea informatiei stare sa-l sfatuiasca sau sa-l ajute sa
construiasca o politica de securitate a
datelor in companie.
Datele adunate cu mult efort de-a lungul timpului si Numai simpla protectie
pastrate, de multe ori fara grija unui backup, pe harddisk- antivirus, fara o politica coerenta de
urile calculatoarelor, se pot dovedi extrem de pretioase la un securitatea informatiei in companie,
moment dat. Iar acel moment poate fi atunci cand realizam ca nu le mai putem nu este in masura sa prevada
recupera... dezastrele ce se pot intampla in orice
Iata cateva date care ar trebui sa ne dea de gandit: in 2001, pagubele moment. Desigur, informatia in sine
cauzate de virusi s-au ridicat la suma de 14 miliarde de dolari , suma mai mare nu constituie un pericol. Riscurile
decat cea a pagubelor directe cauzate de atacul terorist din septembrie 2001. In potentiale apar insa atunci cand ea
anul 2000, piata mondiala a serviciilor de securitate a informatiei a crescut cu este accesata sau mutata dintr-o parte
6,7 miliarde de dolari (conform IDC), iar pana in 2005, se asteapta o triplare a intr-alta, iar controlul asupra acestui
acestei piete, ea ajungand la 21 de miliarde $ adica o crestere anuala de fenomen nu este suficient ca sa
aproximativ 25.5%! Pe ce se bazeaza aceasta crestere? Pe implementarea unor asigure integritatea sau
politici de securitate particularizate pentru specificul fiecarei intreprinderi, confidentialitatea informatiei.
componenta esentiala, pentru companiile din intreaga lume, a strategiei de De aceea, fiecare organizatie
micsorare a riscurilor asociate cu afacerea respectiva. are nevoie de un plan specific,
Sunt directori de firme care nu indraznesc sa introduca o conexiune la elaborat in functie de nevoile
Internet in propria companie, de teama ca nu cumva datele acumulate, cu fiecaruia, pentru a
rabdare si migala, timp de ani de zile, sa nu-i fie distruse in cateva minute, din
cauza unui atac din Internet. Omul se afla in dilema, deoarece Internetul l-ar fi

Securitatea informatiei
- pagina 3 -
Andrei Creosteanu
Grupa i201

preintampina distrugerile sau furtul de date. Aceasta este motivatia ce a determinat SOFTWIN sa ofere solutii
complete de securitate, capabile sa alunge temerile justificate ale doritorilor de confidentialitate a propriilor informatii.
Astfel s-a nascut primul produs anti-virus din lume cu Personal Firewall incorporat, sub numele de BitDefender
Professional. O astfel de alaturare a fost impusa de constientizarea crescanda in randul utilizatorilor de Internet, fie ei
corporatii sau persoane fizice, a riscului de a pierde informatii confidentiale, intimitate si chiar afaceri profitabile in
defavoarea unor concurenti care le-au putut anticipa planurile.
Mail-ul sau vizitarea paginilor de Internet sunt uneori absolut necesare, depinzand de specificul fiecarei intreprinderi
sau firme. Felul cum sunt folosite aceste mijloace trebuie insa restrictionat in conformitate cu politica de securitate definita
la nivelul organizatiei. Odata stabilita aceasta politica, tot ce ramane de facut este verificarea unei liste care sa contina, pe de
o parte, locurile unde este necesara restrictionarea sau protectia accesului la informatie si, pe de alta parte, solutiile care pot
fi folosite pentru a face acest lucru.
Protectia antivirus ramane, evident, o parte, poate cea mai importanta, a acestei politici de securitate. I se adauga insa
protectia impotriva asa-ziselor coduri cu potential periculos, script-uri, applet-uri sau alte asemenea forme de zoologie
informatica, impotriva spam-ului, a atacurilor de tip DoS (Denial of Service) asigurarea confidentialitatii datelor si a
intimitatii utilizatorilor, securizarea transferului de date in Internet (fie ca este vorba de e-mail sau transfer / vizualizare de
fisiere) s.a.m.d. Alegerea solutiilor pentru prevenirea unor atacuri distructive asupra companiei, ramane desigur sarcina
specialistilor si in Romania exista specialisti.

Securitatea informatiei
- pagina 4 -
Andrei Creosteanu
Grupa i201

Nr Crt Denumire 2000 2001 2002 2003 2004

1 Piata antivirus SUA (milioane $) 525.0 683.0 793.0 905.0 1,035.0
2 Pierderi datorate pirateriei soft(mil. $) 26.7 32.5 38.1 49.3 64.7
3 Procent infectare cu virusi (%) 53.8 48.9 47.4 44.6 41.2
4 Infectii virusi (milioane PC) 22.1 26.5 29.8 34.3 37.9
5 Pierderi datorate SPAM(miliarde $) 0.7 3.0 7.0 15.0 21.0
6 Virusi noi (mii) 2.1 3.8 5.9 8.1 11.7
7 Nr atacuri / zi (medie) 5.0 8.0 19.0 26.0 47.0
8 Pierderi datorate pierderii datelor (mil $) 403.0 609.0 768.0 932.0 1,178.0
9 Cheltuieli medii securitate (mii $/firma) 12.8 23.9 40.1 79.5 235.8
10 Timp mediu pierdut de angajat/zi datorita SPAM (min) 1.0 3.0 6.0 18.0 32.0

1200

1000

800

600
Piata antivirus SUA (milioane $)
400

200

0
2000 2001 2002 2003 2004

Securitatea informatiei
- pagina 5 -
Andrei Creosteanu
Grupa i201

2. Procesul de securizare al unei retele

Procesul de securizare al unei retele parcurge de obicei 3 faze:

identificarea resurselor si analiza riscurilor

dezvoltarea si implementarea planurilor de securitate
monitorizarea proceselor în operarea de zi cu zi a retelei

Procesul de securizare al unei retele:

Identificarea resurselor si analiza riscurilor

Dezvoltarea si implementarea planurilor de securitate

Monitorizarea proceselor in operarea de zi cu zi a retelei

Analiza riscurilor este necesara pentru a putea aloca în mod corect investitia de timp si resurse necesare, în functie de
importanta resurselor protejate.

Securitatea informatiei
- pagina 6 -
Andrei Creosteanu
Grupa i201

Pe baza listei de riscuri prioritizate se realizeaza planurile de masuri necesare. Acestea pot fi proactive – pentru
reducerea expunerii la riscuri (mitigation) - sau reactive – planuri ce sunt aplicate dupa producerea incidentului de securitate
si care au drept scop minimizarea efectelor (contingency). Planurile de masuri proactive sunt implementate dupa o
planificare de timp bine definita. Masurile reactive sunt declansate odata cu producerea incidentului de securitate.
Securitatea este o preocupare continua. Chiar si dupa aplicarea planului de masuri proactive si atingerea nivelulului
de securitate dorit al retelei, pentru ca acest nivel trebuie mentinut. Din acest motiv, trebuie facuta o reevaluare periodica a
riscurilor de securitate si modifcate planurile de securitate, daca este nevoie. Pe tot parcursul duratei de viata a unei
infrastructuri IT, perfomantele acesteia trebuie monitorizate iar masurile de securitate trebuie optimizate.

2.1 Securizare pas cu pas

În cele ce urmeaza, vom discuta activitatile tipice care au loc în cadrul unui proiect de securizare a unei infrastructuri
IT. De asemenea, vom discuta care trebuie sa fie rezultatele tipice ale unui astfel de proiect.
Desi în articol vom discuta despre multe tehnici de securitate, nu trebuie sa uitam ca scopul final este securitatea
informatiei. Toate masurile de securitate luate în cadrul retelei trebuie sa fie adecvate nivelului de securitate ce trebui atins
pentru informatiile procesate în cadrul sistemelor IT. Securitatea informatiei este definita prin nivelele de confidentialitate,
integritate si disponibilitate ce trebuie asigurate pentru informatia din sistemul IT (triada Availability-Integrity-
Confidentiality).
Toate masurile de securitate trebuie sa corespunda nivelului de securitate dorit si valorii estimate a infomatiei
pentru organizatia respectiva. Altfel apare fenomenul feature creep, în care implementam tehnologie de dragul tehnologiei si
investim foarte mult în masuri de securitate costisitoare, scapând din vedere resursele cu adevarat importante sau netinând
cont de strategia securitatii pe ansamblu.

2.2 Analiza riscurilor

Primul pas în evaluarea riscurilor de securitate îl reprezinta identificarea resurselor care trebuie protejate precum si
evaluarea acestora din punct de vedere al importantei si valorii. Metodele de identificare sunt dintre cele mai variate,

Securitatea informatiei
- pagina 7 -
Andrei Creosteanu
Grupa i201

pornind de la checklist-uri cu riscuri tipice si terminând cu sedinte de brainstorming. Pentru fiecare din resursele identificate
se poate calcula simplu expunerea la risc ca fiind produsul dintre probabilitatea producerii riscului si impactul acestuia.
Impactul poate fi estimat în costuri sau conform unei scale de importanta.
Expunere = Probabilitate x Impact Exprimarea impactului în costuri (bani) este utila atunci când planificam masurile
de securitate proactive. Nu este eficient sa investim în masuri de securitate sume mai mari decât valoarea impactului asociat
resursei repective. Aceste calcule ne ajuta sa luam decizii inteligente în privinta securizarii diverselor tipuri de resurse,
încercând sa realizam o balanta între expunerea la risc si costurile de implementare ale planurilor de securitate.
Dupa identificarea si prioritizarea riscurilor în functie de expunere, trebuie realizate planurile de securitate. Acestea
contin de obicei masuri proactive care au drept scop reducerea expunerii la riscuri (mitigation). În unele cazuri însa nu pot fi
implementate masuri proactive sau costurile implementarii unor astfel de masuri depasesc valoarea impactului. În acest caz,
sunt realizate planuri de masuri reactive care au drept scop reducerea impactului, odata ce riscul s-a produs.

Exemple de planuri de masuri proactive:

• Securizarea serverelor si a statiilor pentru a reduce suprafata de atac
• Managementul patch-urilor de securitate pentru a elimina vulnerabilita-tile cunoscute
• Securizarea perimetrului retelei
• Implementarea de software antivirus
• Monitorizarea si auditarea sistemelor critice
• Aplicarea unor politici de securitate cu Group Policy si Active Directory
• Crearea de politici si proceduri de securitate pentru utilizatori si administratori

Exemple de planuri de masuri reactive:

• Planul de notificare la producerea incidentelor
• Restaurarea datelor (back-up-ul este proactiv)
• Planuri de continuare a functionarii sistemelor

Securitatea informatiei
- pagina 8 -
Andrei Creosteanu
Grupa i201

• Recuperare în caz de dezastre

Scopul final al securizarii retelei îl reprezinta protectia informatiilor si resurselor din retea. În continuare vom
examina o serie de activitati tipice care trebuie realizate în mai toate proiectele de securizare a unei retele bazate pe produse
si tehnologii Microsoft.
Informatia este un bun de valoare care trebuie protejat, mai cu seama în lumina cresterii semnificatiei e-businessului
si e-comunicatiei. Un ISMS permite o îmbunatatire sistematica a securitatii în interiorul si/sau în afara unei organizatii.
Securitatea informatiei este un factor de succes pentru orice organizatie. Din aceasta cauza este necesar sa se
minimalizeze riscurile cauzate de pierderea bunurilor, caderea sistemelor, intruziunii în sistem din exterior, manipularii
precum si pierderii partiale sau complete sau utilizarii abuzive a datelor - acestea fiind informatii. Rezultatele unei asemenea
analize de risc sunt luate în calcul când se fac planuri pentru continuarea afacerii.
Securitatea informatiei - parte integrata a retelei, sistemelor de backup si stocari de date, protectie anti-virus si
firewall-uri, pastreaza datele vitale si recuperabile ale companiei la loc sigur, intacte si accesibile. In plus, se pot dezvolta
politici interne de acces si control pentru securizarea operatiilor
Eficienta si productivitate sporite - operatiunile si aplicatiile companiei vor functiona armonios atata vreme cat partea
hardware functioneaza corect

3. Prezentarea portal-ului bcr.ro si a solutiilor de securitate adoptate

Banca Comerciala Romana a lansat, la inceputul lunii martie 2003, primul portal financiar-bancar din
Romania, care prezinta informatii integrate privind intreaga activitate a Grupului BCR.
La adresa de Internet www.bcr.ro pot fi obtinute, de acum, informatii privind atat produsele si
serviciile bancii, cat si cele oferite de subsidiarele BCR care opereaza in sfera leasing-ului, asigurarilor,

Securitatea informatiei
- pagina 9 -
Andrei Creosteanu
Grupa i201

investitiilor de portofoliu si pietei de capital. De asemenea, este prezenta si Anglo-Romanian Bank, subsidiara britanica a
BCR.
Alaturi de informatii detaliate privind oferta adresata clientilor Grupului BCR, uti-lizatorii portalului beneficiaza de
multiple facilitati:
- pot efectua un calcul estimativ pentru rate de credite, pentru rate de leasing si pentru prime de asigurare;
- dispun de un newsletter integrat cu informatii utile despre intreaga activitate a Grupului;
- au acces la un centru de sondaje prin intermediul caruia pot contribui la imbunatatirea ofertei de produse si servicii,
precum si a continutului portalului.
De asemenea, portalul www.bcr.ro va permite fiecarui utilizator autorizat (cu parola de acces) sa aiba afisate doar
informatiile care il intereseaza (de exemplu carduri, leasing si BCR Clasic) intr-un format pe care si-l poate alege.
In plus, utilizatorii autorizati care sunt clienti ai BCR Leasing sau BCR Asigurari vor putea afla valoarea ratelor sau
primelor de asigurare pentru luna in curs, iar portalul le va transmite automat un mesaj e-mail de atentionare inainte de data
scadentei.
Securitatea informatiei este garantata atat prin folosirea unui nume si a unei parole unice, cat si printr-o conexiune
securizata, de tip HTTPS, testata si implementata de multe banci de prestigiu din lume.
Portalul BCR utilizeaza o tehnologie informatica pusa la punct de SAP, lider mondial al solutiilor informatice de e-
business si dezvoltata pentru BCR in intregime de SOFTWIN, lider pe piata IT din Romania.
Aceasta tehnologie SAP se regaseste si la portaluri binecunoscute precum cele ale Deutsche Bank, Bank of America
sau Yahoo!.
Tehnologia este foarte flexibila si permite dezvoltarea in continuare a portalului www.bcr.ro cu noi aplicatii care vor
creste interactivitatea dialogului in folosul clientilor.
De asemenea BCR ofera Sistemul de banca electronica e-bcr care permite, prin intermediul Internet-ului, efectuarea
de plati in lei si obtinerea extraselor de cont si a unor informatii de trezorerie, fara a mai fi necesara deplasarea la sediul
bancii. e-BCR este destinat clientilor mici si mijlocii care realizeaza activitate financiar contabila cu un numar mic de

Securitatea informatiei
- pagina 10 -
Andrei Creosteanu
Grupa i201

tranzactii si care nu dispun de resurse umane din domeniul informaticii pentru intretinerea unei retele locale sau pentru
realizarea unor interfete cu propriile sisteme informatice.
Pentru acestia conexiunea cea mai simpla la un sistem de plati electronice este cea de tip Internet care nu cere resurse
speciale pe calculatorul clientului.
Pentru a putea folosi acest sistem de plati banca ofera clientilor sai un fisier de tip plug-in sub forma unui program ce
se va instala in mod automat in structura browser-ului local si care permite, in mod securizat, realizarea conexiunii cu
banca.
Pentru autorizarea lucrului prin e-bcr, clientul trebuie sa realizeze urmatorii pasi:
- sa aiba cont la una dintre unitatile BCR;
- sa completeze, la sediul unitatii BCR, o cerere de acces la serviciul e-BCR, semnata de persoana autorizata;
- sa efectueze operatiuni bancare si sa detina semnatura in banca;
- sa instaleze pe calculatorul din societate programul oferit de BCR si sa urmeze intocmai instructiunile ce insotesc acest
program;
- sa genereze scrisoarea de initializare, conform instructiunilor primite, sa o semneze si sa o prezinte la unitatea BCR.

4. Securitatea wireless

Multe organizatii neglijeaza importanta securitatii wireles. Este evident ca, prin natura lor, daca aceste
retele nu sunt corespunzator protejate, ele se transforma usor într-o usa deschisa pentru oricine
este interesat de datele si informatiile din reteaua interna a organizatiei. Daca dispune de
echipament adecvat, un individ poate accesa reteaua organizatiei de la o distanta de aproape un
kilometru, atât pentru a se folosi de informatiile acesteia, cât si pentru a lansa atacuri catre alte

Securitatea informatiei
- pagina 11 -
Andrei Creosteanu
Grupa i201

organizatii din Internet. Tot ca urmare a naturii lor, deosebit de vulnerabile sunt si dispozitivele portabile (asistentii personali
digitali1, telefoanele mobile, laptop-urile).
4.1 Securitatea la nivelul protocoalelor
Tehnologia de securitate WEP (Wired Equivalent Privacy) a standardului IEEE 802.11 este departe de perfectiune, usor de
strapuns. WEP are doua lacune importante: criptarea vulnerabila si o proasta administrare a cheilor (ceea ce înseamna fie chei
schimbate manual, fie solutii ale unor vânzatori individuali – care în cel mai bun caz genereaza cheile dinamic). WEP suporta atât
chei de 64, cât si de 128 biti. Ambele sunt defectuoase, pentru ca vectorul de initializare are marimea de numai 24 de biti.
Algoritmul de criptare RC4 este de asemenea vulnerabil în WEP. Dar cel mai rau lucru care se poate întâmpla – si se întâmpla
adesea - este ca WEP sa fie dezactivat de dispozitivele 802.11b fara o alta protectie alternativa.
Protocolul 802.11b nu satisface decât cerinte minime de securitate: control al accesului si autentificare, la un nivel
elementar (autentificarea este bazata numai pe hardware). O alta metoda de securitate a accesului utilizata de 802.11b se bazeaza
pe un Service Set Identifier (SSID), care este asignat unuia sau mai multor puncte de acces pentru a crea un segment de retea
wireless. Clientii wireless trebuie sa fie configurati cu SSID-ul corect pentru a accesa reteaua – securitatea asigurata prin acest
mecanism fiind elementara. Mecanismul de criptare al 802.11b este defectuos: s-a dovedit usor de spart si paralizat de lipsa unei
scheme de administrare a cheilor. Un cracker poate cauta punctele de acces ale 802.11 si poate decripta datele capturate utilizând
un laptop si software descarcat de pe Internet.
Realizatorii de dispozitive wireless (Cisco Systems, Agere Systems, Enterasys Networks, Avaya) au introdus solutii proprietare
pentru aceste probleme. Ei pun la dispozitia clientilor lor produse software care asigura un management al cheilor îmbunatatit,
folosit atât pentru criptare cât si pentru autentificarea clientilor.
Membrii grupului de lucru IEEE 802.11i lucreaza la o serie de schimbari menite sa acopere bresele WEP, în special
metodologia sa de criptare. Schimbarile includ modificarea modului în care sistemul creeaza si utilizeaza atât vectorul de initializare,
cât si cheile utilizate în criptarea datelor transferate în retea. Se va renunta la algoritmul de criptare RC4 în favoarea standardului
de criptare avansata (AES – Advanced Encryption Standard) – un cifru bloc despre care se crede ca va proteja mai bine traficul de
cei care intentioneaza sa modifice datele aflate în tranzit.
Standardul 802.1x adoptat în iulie 2001 foloseste Extensible Authentication Protocol (EAP) pentru a autentifica
utilizatorii. În mediul WLAN, un client wireless va trimite o cerere catre un punct de acces 802.11b, care va stabili apoi o
conexiune cu serverul de autentificare.
1
PDA (eng) = Personal Digital Asistent

Securitatea informatiei
- pagina 12 -
Andrei Creosteanu
Grupa i201

Alte protocoale din seria 802.11 realizate cu scopul cresterii vitezei în retelele wireless 2 sunt 802.11a si 802.11g. Organizatiile
complexe, cu un numar mare de angajati si parteneri de afaceri, cu o mare varietate de aplicatii si metode de acces – inclusiv
wireless – au nevoie de un server de autentificare. Pentru autentificarea bazata pe utilizator, este recomandat RADIUS/AAA.
Acesta poate valida un client înainte de a verifica un punct de acces si poate fi administrat central, lucru important pentru
organizatiile mari. De asemenea, poate fi folosit pentru autentificarea clientilor retelelor virtuale private, ca si pentru alte servicii.
Pentru utilizatorii de dispozitive mobile, nepretuite în asigurarea securitatii sunt si retelele virtuale private (VPN - Virtual
Private Network). În loc sa apeleze prin dial-in reteaua organizatiei (în schimbul unei taxe substantiale, bineînteles), utilizatorii de
dispozitive mobile se pot conecta la ea prin Internet, via VPN. Astfel, utilizatorul „mobil” are avantajul unei conexiuni de mare
viteza. Se elimina si necesitatea amplasarii unor modemuri dial-up, recunoscute ca puncte atractive de intrare în reteaua unei
organizatii pentru intrusi. O retea virtuala privata este un mod de utilizare a unei infrastructuri publice de telecomunicatii (ca de
exemplu Internetul) care asigura accesul sigur la reteaua organizatiei pentru birourile si indivizii aflati la distanta. Reteaua virtuala
privata poate înlocui un sistem costisitor de linii proprii sau închiriate folosite exclusiv de organizatie. Scopul VPN este de a asigura
facilitati similare respectivelor linii, dar la un cost mult mai redus. Desi foloseste o infrastructura publica partajata, VPN asigura
securitatea prin proceduri specifice si protocoale–tunel (cum ar fi Layer Two Tunneling Protocol). Protocoalele cripteaza datele la
trimitere si le decripteaza la primire, în timpul transmiterii ele aflându-se într-un tunel (care nu poate fi folosit de date care nu sunt
criptate corespunzator). Un nivel de securitate suplimentar implica si criptarea adreselor din retea de la care sunt trimise si la care
sunt receptionate datele.

4. 2 La nivelul dispozitivelor
Dispozitivele portabile nu au fost proiectate pentru a suporta sarcini de securitate prea sofisticate. Multora dintre ele le
lipseste puterea de procesare pentru o criptare eficienta, pentru o buna administrare a memoriei si o protectie solida prin parole. Si
mai grav, aceste dispozitive sunt „descoperite” la nivelul securitatii fizice.
De exemplu, laptopurile. Ele sunt masini portabile, mici, dar totodata puternice, care pot înmagazina GB de informatie si
pot costa mii de dolari. Sunt capabile sa realizeze aproape toate sarcinile unui calculator „fix” – si totodata sa îsi însoteasca
proprietarul în oricare dintre variatele locuri în care acesta lucreaza, se odihneste sau se distreaza. Cei trei factori care transpar din
textul de mai sus – portabilitatea, valoarea, popularitatea – fac din laptopuri tinte excelente pentru hoti. Multe dintre furturi se

2
Retea wireless = retea fara fir (nu se mai folosesc vechile fire pt retele ci informatia este transmisa radio)

Securitatea informatiei
- pagina 13 -
Andrei Creosteanu
Grupa i201

produc în plina zi, în cele mai obisnuite locuri. Si foarte, foarte repede. Daca un laptop este lasat numai un moment
nesupravegheat, cineva îl poate lua pur si simplu sub brat si pleca.
Unele companii au produs, pentru a veni în întâmpinarea acestei amenintari, tipuri variate de încuietori care sa securizeze
calculatorul prin fixarea sa de un birou sau de alt obiect greu de mutat. Daca laptopul este folosit în locuri publice (de exemplu
biblioteci, cafenele), este indicata o încuietoare cu cablu (asemanatoare cu cea de la bicicleta, dar suficient de usoara încât sa
poata fi purtata în servieta laptopului). Desi încuietorile nu pot opri un hot motivat, vor.Securitatea Wireless reduce mult riscul
furtului „de ocazie”. Daca laptopul este utilizat într-un birou deschis diversilor vizitatori, este recomandat un dispozitiv care sa îl
fixeze permanent de birou.
O alta optiune sunt detectoarele de miscare – ele emit o alarma sonora daca
laptopul este mutat. Un calator „înversunat” poate folosi o alarma de proximitate care porneste daca laptopul se afla la o distanta
mai mare de câteva zeci de centimetri de el. Desi alarmele nu previn în mod necesar furtul, fac mai usoara depistarea persoanei
care l-a comis. Un alt sfat care pare banal dar este util este purtarea laptopului într-o servieta comuna, care nu da de banuit asupra
continutului ei. În vederea asigurarii securitatii datelor din laptop, se recomanda criptarea acestora.
Succint, alte precautii care trebuie luate pentru reducerea riscului sunt:
tratarea laptopului ca pe un portofel sau o poseta, care nu trebuie lasate
niciodata nesupravegheate;
calculatorul este bine sa fie marcat prin scrierea pe o placuta puternic
adeziva si greu de îndepartat numele proprietarului si numarul sau de
telefon;
retinerea seriei calculatorului, a datei cumpararii, a altor date de
identificare - si pastrarea lor la loc sigur;
înainte de a calatori cu un laptop, încheierea unei polite de asigurare
pentru el (o companie care se ocupa de acest fel de asigurari este
Safeware – www.safeware.com);
realizarea frecventa de copii de siguranta ale informatiei, care nu trebuie
pastrate în aceeasi servieta;
utilizarea, pe cât posibil, a unor parole pentru securitatea informatiei din
computer –care sa nu fie salvate de catre acesta si care sa nu fie folosite

Securitatea informatiei
- pagina 14 -
Andrei Creosteanu
Grupa i201

de utilizator si pentru accesul în alte sisteme.

Vânzatorii de software au dezvoltat programe care pot urmari un calculator furat când acesta este conectat la Internet. Desi
detaliile modului în care aceste produse lucreaza variaza de la produs la produs, ele opereaza, în general, în felul urmator:
programul este instalat pe laptop, rulând în secret, în background. În momentul în care calculatorul se conecteaza la Internet,
acest program apeleaza un server de monitorizare. Serverul de monitorizare verifica identitatea laptopului pentru a vedea daca el a
fost raportat ca disparut sau furat. În acest caz, serverul determina locatia laptopului pornind de la numarul de telefon sau adresa
IP de unde a fost apelat. Anumite tipuri de software pot chiar sa dezactiveze un laptop furat. În concluzie, software-ul de protectie
a laptopurilor (de tip callback) apeleaza o statie centrala de monitorizare a laptopurilor, transmitându-i acesteia un identificator
electronic unic. Statia verifica daca o anumita conectare a fost facuta de la numarul de telefon atasat identificatorului. Raspunsul
„nu” la aceasta verificare poate fi semnul unui furt al calculatorului. CompuTrace (al Absolute Software Corp., din Vancouver) sau
AlertPC (Dallas) sunt setate sa apeleze statia la câteva zile o data – iar daca numarul nu coincide, laptopul va emite din cinci în
cinci minute un semnal care-i va permite politiei sa-l gaseasca. CyberAng el
(Tennessee) initializeaza un telefon doar atunci când utilizatorul introduce o parola gresita sau niciuna, sugerând astfel un posibil
atentat la securitatea sistemului. Totusi, laptopurile au o putere suficient de mare, procesoare rapide si spatiu de stocare
semnificativ. Acest fapt le permite sa suporte în mod eficient sarcini diverse legate de securitate, ca de exemplu criptarea datelor.
În schimb, asistentii personali digitali (cu puterea scazuta, procesoarele relativ încete si capacitatea de stocare redusa) au fost
proiectati

Securitatea informatiei
- pagina 15 -
pentru a sustine aplicatii personale (care nu cereau neaparat
o securitate robusta). Adesea, problemele de securitate îsi au
originea în deciziile nesatisfacatoare din timpul proiectarii. În
momentul în care asistentilor personali digitali li se cere
gazduirea unor aplicatii financiare sau medicale, riscul devine
evident. Administrarea slaba a memoriei creeaza o alta gaura
în securitatea lor. Dispozitivele portabile cu putere mica nu au
capacitatea de a marca sectiuni de memorie ca „read-only”.
Daca un virus patrunde în sistem sau daca dispozitivul este
furat, printr-o aplicatie se poate citi sau scrie în memorie sau
interactiona direct cu procesorul sistemului – rezultatele
neplacute pot fi citirea înregistrarilor, stergerea datelor sau
programelor sau, mai grav, distrugerea fizica a dispozitivului.
În concluzie...
Importanta securitatii în domeniul wireless
deriva din faptul ca datele
transportate prin retelele radio sunt de fapt
datele care circula în mod obisnuit
prin retelele traditionale ale organizatiilor
(de exemplu rapoarte de vânzari,
proiecte ale noilor produse sau înregistrari
medicale). Ele sunt adesea
confidentiale sau chiar secrete si necesita o protectie
adecvata. Problema protejarii lor este mai sensibila decât în
retelele „clasice”, pe de o parte pentru ca dispozitivele
portabile au înca multe neajunsuri în domeniul securitatii, iar
pe de alta parte pentru ca implementarea tehnologiilor
wireless, ca a oricaror tehnologii noi, este cu un pas înaintea
securizarii acestora.
Bibliografie:
1. Danda, M., Protect Yourself Online, Microsoft Press, 2001
2. Denning, D. F., Information Warfare & Security, Addison –
Wesley, Massachusetts, 1999
3. King, M. C., Dalton, E. C., Osmanoglu, T. E., Security
Architecture (Design, Deployment & Operations), McGrawHill,
2001
4.http://www.cisco.com/global/RO/solutions/smb/avvid_soluti
ons/mobility_home.shtml
5. http://www.hcssystems.com/wireless1/
6.
http://www.infosecuritymag.com/articles/january02/cover.sht
ml
7. http://www.netreport.ro/pcrep118/loudon.shtml
8.http://searchnetworking.techtarget.com/qna/0,289202,sid7
_gci848369,00.html
9. http://www.smartnews.ro/Wireless/2139.htm
Hyperlinks:
BazeDeDate.xls