Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Grupa i201
Securitatea informatiei
- pagina 1 -
Andrei Creosteanu
Grupa i201
Cuprins
1. Securitatea informatiei
2. Procesul de securizare al unei retele
3. Prezentarea portal-ului bcr.ro si a solutiilor de securitate adoptate
4. Securitatea wireless
Securitatea informatiei
- pagina 2 -
Andrei Creosteanu
Grupa i201
Securitatea informatiei
- pagina 3 -
Andrei Creosteanu
Grupa i201
preintampina distrugerile sau furtul de date. Aceasta este motivatia ce a determinat SOFTWIN sa ofere solutii
complete de securitate, capabile sa alunge temerile justificate ale doritorilor de confidentialitate a propriilor informatii.
Astfel s-a nascut primul produs anti-virus din lume cu Personal Firewall incorporat, sub numele de BitDefender
Professional. O astfel de alaturare a fost impusa de constientizarea crescanda in randul utilizatorilor de Internet, fie ei
corporatii sau persoane fizice, a riscului de a pierde informatii confidentiale, intimitate si chiar afaceri profitabile in
defavoarea unor concurenti care le-au putut anticipa planurile.
Mail-ul sau vizitarea paginilor de Internet sunt uneori absolut necesare, depinzand de specificul fiecarei intreprinderi
sau firme. Felul cum sunt folosite aceste mijloace trebuie insa restrictionat in conformitate cu politica de securitate definita
la nivelul organizatiei. Odata stabilita aceasta politica, tot ce ramane de facut este verificarea unei liste care sa contina, pe de
o parte, locurile unde este necesara restrictionarea sau protectia accesului la informatie si, pe de alta parte, solutiile care pot
fi folosite pentru a face acest lucru.
Protectia antivirus ramane, evident, o parte, poate cea mai importanta, a acestei politici de securitate. I se adauga insa
protectia impotriva asa-ziselor coduri cu potential periculos, script-uri, applet-uri sau alte asemenea forme de zoologie
informatica, impotriva spam-ului, a atacurilor de tip DoS (Denial of Service) asigurarea confidentialitatii datelor si a
intimitatii utilizatorilor, securizarea transferului de date in Internet (fie ca este vorba de e-mail sau transfer / vizualizare de
fisiere) s.a.m.d. Alegerea solutiilor pentru prevenirea unor atacuri distructive asupra companiei, ramane desigur sarcina
specialistilor si in Romania exista specialisti.
Securitatea informatiei
- pagina 4 -
Andrei Creosteanu
Grupa i201
1200
1000
800
600
Piata antivirus SUA (milioane $)
400
200
0
2000 2001 2002 2003 2004
Securitatea informatiei
- pagina 5 -
Andrei Creosteanu
Grupa i201
Analiza riscurilor este necesara pentru a putea aloca în mod corect investitia de timp si resurse necesare, în functie de
importanta resurselor protejate.
Securitatea informatiei
- pagina 6 -
Andrei Creosteanu
Grupa i201
Pe baza listei de riscuri prioritizate se realizeaza planurile de masuri necesare. Acestea pot fi proactive – pentru
reducerea expunerii la riscuri (mitigation) - sau reactive – planuri ce sunt aplicate dupa producerea incidentului de securitate
si care au drept scop minimizarea efectelor (contingency). Planurile de masuri proactive sunt implementate dupa o
planificare de timp bine definita. Masurile reactive sunt declansate odata cu producerea incidentului de securitate.
Securitatea este o preocupare continua. Chiar si dupa aplicarea planului de masuri proactive si atingerea nivelulului
de securitate dorit al retelei, pentru ca acest nivel trebuie mentinut. Din acest motiv, trebuie facuta o reevaluare periodica a
riscurilor de securitate si modifcate planurile de securitate, daca este nevoie. Pe tot parcursul duratei de viata a unei
infrastructuri IT, perfomantele acesteia trebuie monitorizate iar masurile de securitate trebuie optimizate.
Securitatea informatiei
- pagina 7 -
Andrei Creosteanu
Grupa i201
pornind de la checklist-uri cu riscuri tipice si terminând cu sedinte de brainstorming. Pentru fiecare din resursele identificate
se poate calcula simplu expunerea la risc ca fiind produsul dintre probabilitatea producerii riscului si impactul acestuia.
Impactul poate fi estimat în costuri sau conform unei scale de importanta.
Expunere = Probabilitate x Impact Exprimarea impactului în costuri (bani) este utila atunci când planificam masurile
de securitate proactive. Nu este eficient sa investim în masuri de securitate sume mai mari decât valoarea impactului asociat
resursei repective. Aceste calcule ne ajuta sa luam decizii inteligente în privinta securizarii diverselor tipuri de resurse,
încercând sa realizam o balanta între expunerea la risc si costurile de implementare ale planurilor de securitate.
Dupa identificarea si prioritizarea riscurilor în functie de expunere, trebuie realizate planurile de securitate. Acestea
contin de obicei masuri proactive care au drept scop reducerea expunerii la riscuri (mitigation). În unele cazuri însa nu pot fi
implementate masuri proactive sau costurile implementarii unor astfel de masuri depasesc valoarea impactului. În acest caz,
sunt realizate planuri de masuri reactive care au drept scop reducerea impactului, odata ce riscul s-a produs.
Securitatea informatiei
- pagina 8 -
Andrei Creosteanu
Grupa i201
Scopul final al securizarii retelei îl reprezinta protectia informatiilor si resurselor din retea. În continuare vom
examina o serie de activitati tipice care trebuie realizate în mai toate proiectele de securizare a unei retele bazate pe produse
si tehnologii Microsoft.
Informatia este un bun de valoare care trebuie protejat, mai cu seama în lumina cresterii semnificatiei e-businessului
si e-comunicatiei. Un ISMS permite o îmbunatatire sistematica a securitatii în interiorul si/sau în afara unei organizatii.
Securitatea informatiei este un factor de succes pentru orice organizatie. Din aceasta cauza este necesar sa se
minimalizeze riscurile cauzate de pierderea bunurilor, caderea sistemelor, intruziunii în sistem din exterior, manipularii
precum si pierderii partiale sau complete sau utilizarii abuzive a datelor - acestea fiind informatii. Rezultatele unei asemenea
analize de risc sunt luate în calcul când se fac planuri pentru continuarea afacerii.
Securitatea informatiei - parte integrata a retelei, sistemelor de backup si stocari de date, protectie anti-virus si
firewall-uri, pastreaza datele vitale si recuperabile ale companiei la loc sigur, intacte si accesibile. In plus, se pot dezvolta
politici interne de acces si control pentru securizarea operatiilor
Eficienta si productivitate sporite - operatiunile si aplicatiile companiei vor functiona armonios atata vreme cat partea
hardware functioneaza corect
Banca Comerciala Romana a lansat, la inceputul lunii martie 2003, primul portal financiar-bancar din
Romania, care prezinta informatii integrate privind intreaga activitate a Grupului BCR.
La adresa de Internet www.bcr.ro pot fi obtinute, de acum, informatii privind atat produsele si
serviciile bancii, cat si cele oferite de subsidiarele BCR care opereaza in sfera leasing-ului, asigurarilor,
Securitatea informatiei
- pagina 9 -
Andrei Creosteanu
Grupa i201
investitiilor de portofoliu si pietei de capital. De asemenea, este prezenta si Anglo-Romanian Bank, subsidiara britanica a
BCR.
Alaturi de informatii detaliate privind oferta adresata clientilor Grupului BCR, uti-lizatorii portalului beneficiaza de
multiple facilitati:
- pot efectua un calcul estimativ pentru rate de credite, pentru rate de leasing si pentru prime de asigurare;
- dispun de un newsletter integrat cu informatii utile despre intreaga activitate a Grupului;
- au acces la un centru de sondaje prin intermediul caruia pot contribui la imbunatatirea ofertei de produse si servicii,
precum si a continutului portalului.
De asemenea, portalul www.bcr.ro va permite fiecarui utilizator autorizat (cu parola de acces) sa aiba afisate doar
informatiile care il intereseaza (de exemplu carduri, leasing si BCR Clasic) intr-un format pe care si-l poate alege.
In plus, utilizatorii autorizati care sunt clienti ai BCR Leasing sau BCR Asigurari vor putea afla valoarea ratelor sau
primelor de asigurare pentru luna in curs, iar portalul le va transmite automat un mesaj e-mail de atentionare inainte de data
scadentei.
Securitatea informatiei este garantata atat prin folosirea unui nume si a unei parole unice, cat si printr-o conexiune
securizata, de tip HTTPS, testata si implementata de multe banci de prestigiu din lume.
Portalul BCR utilizeaza o tehnologie informatica pusa la punct de SAP, lider mondial al solutiilor informatice de e-
business si dezvoltata pentru BCR in intregime de SOFTWIN, lider pe piata IT din Romania.
Aceasta tehnologie SAP se regaseste si la portaluri binecunoscute precum cele ale Deutsche Bank, Bank of America
sau Yahoo!.
Tehnologia este foarte flexibila si permite dezvoltarea in continuare a portalului www.bcr.ro cu noi aplicatii care vor
creste interactivitatea dialogului in folosul clientilor.
De asemenea BCR ofera Sistemul de banca electronica e-bcr care permite, prin intermediul Internet-ului, efectuarea
de plati in lei si obtinerea extraselor de cont si a unor informatii de trezorerie, fara a mai fi necesara deplasarea la sediul
bancii. e-BCR este destinat clientilor mici si mijlocii care realizeaza activitate financiar contabila cu un numar mic de
Securitatea informatiei
- pagina 10 -
Andrei Creosteanu
Grupa i201
tranzactii si care nu dispun de resurse umane din domeniul informaticii pentru intretinerea unei retele locale sau pentru
realizarea unor interfete cu propriile sisteme informatice.
Pentru acestia conexiunea cea mai simpla la un sistem de plati electronice este cea de tip Internet care nu cere resurse
speciale pe calculatorul clientului.
Pentru a putea folosi acest sistem de plati banca ofera clientilor sai un fisier de tip plug-in sub forma unui program ce
se va instala in mod automat in structura browser-ului local si care permite, in mod securizat, realizarea conexiunii cu
banca.
Pentru autorizarea lucrului prin e-bcr, clientul trebuie sa realizeze urmatorii pasi:
- sa aiba cont la una dintre unitatile BCR;
- sa completeze, la sediul unitatii BCR, o cerere de acces la serviciul e-BCR, semnata de persoana autorizata;
- sa efectueze operatiuni bancare si sa detina semnatura in banca;
- sa instaleze pe calculatorul din societate programul oferit de BCR si sa urmeze intocmai instructiunile ce insotesc acest
program;
- sa genereze scrisoarea de initializare, conform instructiunilor primite, sa o semneze si sa o prezinte la unitatea BCR.
4. Securitatea wireless
Multe organizatii neglijeaza importanta securitatii wireles. Este evident ca, prin natura lor, daca aceste
retele nu sunt corespunzator protejate, ele se transforma usor într-o usa deschisa pentru oricine
este interesat de datele si informatiile din reteaua interna a organizatiei. Daca dispune de
echipament adecvat, un individ poate accesa reteaua organizatiei de la o distanta de aproape un
kilometru, atât pentru a se folosi de informatiile acesteia, cât si pentru a lansa atacuri catre alte
Securitatea informatiei
- pagina 11 -
Andrei Creosteanu
Grupa i201
organizatii din Internet. Tot ca urmare a naturii lor, deosebit de vulnerabile sunt si dispozitivele portabile (asistentii personali
digitali1, telefoanele mobile, laptop-urile).
4.1 Securitatea la nivelul protocoalelor
Tehnologia de securitate WEP (Wired Equivalent Privacy) a standardului IEEE 802.11 este departe de perfectiune, usor de
strapuns. WEP are doua lacune importante: criptarea vulnerabila si o proasta administrare a cheilor (ceea ce înseamna fie chei
schimbate manual, fie solutii ale unor vânzatori individuali – care în cel mai bun caz genereaza cheile dinamic). WEP suporta atât
chei de 64, cât si de 128 biti. Ambele sunt defectuoase, pentru ca vectorul de initializare are marimea de numai 24 de biti.
Algoritmul de criptare RC4 este de asemenea vulnerabil în WEP. Dar cel mai rau lucru care se poate întâmpla – si se întâmpla
adesea - este ca WEP sa fie dezactivat de dispozitivele 802.11b fara o alta protectie alternativa.
Protocolul 802.11b nu satisface decât cerinte minime de securitate: control al accesului si autentificare, la un nivel
elementar (autentificarea este bazata numai pe hardware). O alta metoda de securitate a accesului utilizata de 802.11b se bazeaza
pe un Service Set Identifier (SSID), care este asignat unuia sau mai multor puncte de acces pentru a crea un segment de retea
wireless. Clientii wireless trebuie sa fie configurati cu SSID-ul corect pentru a accesa reteaua – securitatea asigurata prin acest
mecanism fiind elementara. Mecanismul de criptare al 802.11b este defectuos: s-a dovedit usor de spart si paralizat de lipsa unei
scheme de administrare a cheilor. Un cracker poate cauta punctele de acces ale 802.11 si poate decripta datele capturate utilizând
un laptop si software descarcat de pe Internet.
Realizatorii de dispozitive wireless (Cisco Systems, Agere Systems, Enterasys Networks, Avaya) au introdus solutii proprietare
pentru aceste probleme. Ei pun la dispozitia clientilor lor produse software care asigura un management al cheilor îmbunatatit,
folosit atât pentru criptare cât si pentru autentificarea clientilor.
Membrii grupului de lucru IEEE 802.11i lucreaza la o serie de schimbari menite sa acopere bresele WEP, în special
metodologia sa de criptare. Schimbarile includ modificarea modului în care sistemul creeaza si utilizeaza atât vectorul de initializare,
cât si cheile utilizate în criptarea datelor transferate în retea. Se va renunta la algoritmul de criptare RC4 în favoarea standardului
de criptare avansata (AES – Advanced Encryption Standard) – un cifru bloc despre care se crede ca va proteja mai bine traficul de
cei care intentioneaza sa modifice datele aflate în tranzit.
Standardul 802.1x adoptat în iulie 2001 foloseste Extensible Authentication Protocol (EAP) pentru a autentifica
utilizatorii. În mediul WLAN, un client wireless va trimite o cerere catre un punct de acces 802.11b, care va stabili apoi o
conexiune cu serverul de autentificare.
1
PDA (eng) = Personal Digital Asistent
Securitatea informatiei
- pagina 12 -
Andrei Creosteanu
Grupa i201
Alte protocoale din seria 802.11 realizate cu scopul cresterii vitezei în retelele wireless 2 sunt 802.11a si 802.11g. Organizatiile
complexe, cu un numar mare de angajati si parteneri de afaceri, cu o mare varietate de aplicatii si metode de acces – inclusiv
wireless – au nevoie de un server de autentificare. Pentru autentificarea bazata pe utilizator, este recomandat RADIUS/AAA.
Acesta poate valida un client înainte de a verifica un punct de acces si poate fi administrat central, lucru important pentru
organizatiile mari. De asemenea, poate fi folosit pentru autentificarea clientilor retelelor virtuale private, ca si pentru alte servicii.
Pentru utilizatorii de dispozitive mobile, nepretuite în asigurarea securitatii sunt si retelele virtuale private (VPN - Virtual
Private Network). În loc sa apeleze prin dial-in reteaua organizatiei (în schimbul unei taxe substantiale, bineînteles), utilizatorii de
dispozitive mobile se pot conecta la ea prin Internet, via VPN. Astfel, utilizatorul „mobil” are avantajul unei conexiuni de mare
viteza. Se elimina si necesitatea amplasarii unor modemuri dial-up, recunoscute ca puncte atractive de intrare în reteaua unei
organizatii pentru intrusi. O retea virtuala privata este un mod de utilizare a unei infrastructuri publice de telecomunicatii (ca de
exemplu Internetul) care asigura accesul sigur la reteaua organizatiei pentru birourile si indivizii aflati la distanta. Reteaua virtuala
privata poate înlocui un sistem costisitor de linii proprii sau închiriate folosite exclusiv de organizatie. Scopul VPN este de a asigura
facilitati similare respectivelor linii, dar la un cost mult mai redus. Desi foloseste o infrastructura publica partajata, VPN asigura
securitatea prin proceduri specifice si protocoale–tunel (cum ar fi Layer Two Tunneling Protocol). Protocoalele cripteaza datele la
trimitere si le decripteaza la primire, în timpul transmiterii ele aflându-se într-un tunel (care nu poate fi folosit de date care nu sunt
criptate corespunzator). Un nivel de securitate suplimentar implica si criptarea adreselor din retea de la care sunt trimise si la care
sunt receptionate datele.
4. 2 La nivelul dispozitivelor
Dispozitivele portabile nu au fost proiectate pentru a suporta sarcini de securitate prea sofisticate. Multora dintre ele le
lipseste puterea de procesare pentru o criptare eficienta, pentru o buna administrare a memoriei si o protectie solida prin parole. Si
mai grav, aceste dispozitive sunt „descoperite” la nivelul securitatii fizice.
De exemplu, laptopurile. Ele sunt masini portabile, mici, dar totodata puternice, care pot înmagazina GB de informatie si
pot costa mii de dolari. Sunt capabile sa realizeze aproape toate sarcinile unui calculator „fix” – si totodata sa îsi însoteasca
proprietarul în oricare dintre variatele locuri în care acesta lucreaza, se odihneste sau se distreaza. Cei trei factori care transpar din
textul de mai sus – portabilitatea, valoarea, popularitatea – fac din laptopuri tinte excelente pentru hoti. Multe dintre furturi se
2
Retea wireless = retea fara fir (nu se mai folosesc vechile fire pt retele ci informatia este transmisa radio)
Securitatea informatiei
- pagina 13 -
Andrei Creosteanu
Grupa i201
produc în plina zi, în cele mai obisnuite locuri. Si foarte, foarte repede. Daca un laptop este lasat numai un moment
nesupravegheat, cineva îl poate lua pur si simplu sub brat si pleca.
Unele companii au produs, pentru a veni în întâmpinarea acestei amenintari, tipuri variate de încuietori care sa securizeze
calculatorul prin fixarea sa de un birou sau de alt obiect greu de mutat. Daca laptopul este folosit în locuri publice (de exemplu
biblioteci, cafenele), este indicata o încuietoare cu cablu (asemanatoare cu cea de la bicicleta, dar suficient de usoara încât sa
poata fi purtata în servieta laptopului). Desi încuietorile nu pot opri un hot motivat, vor.Securitatea Wireless reduce mult riscul
furtului „de ocazie”. Daca laptopul este utilizat într-un birou deschis diversilor vizitatori, este recomandat un dispozitiv care sa îl
fixeze permanent de birou.
O alta optiune sunt detectoarele de miscare – ele emit o alarma sonora daca
laptopul este mutat. Un calator „înversunat” poate folosi o alarma de proximitate care porneste daca laptopul se afla la o distanta
mai mare de câteva zeci de centimetri de el. Desi alarmele nu previn în mod necesar furtul, fac mai usoara depistarea persoanei
care l-a comis. Un alt sfat care pare banal dar este util este purtarea laptopului într-o servieta comuna, care nu da de banuit asupra
continutului ei. În vederea asigurarii securitatii datelor din laptop, se recomanda criptarea acestora.
Succint, alte precautii care trebuie luate pentru reducerea riscului sunt:
tratarea laptopului ca pe un portofel sau o poseta, care nu trebuie lasate
niciodata nesupravegheate;
calculatorul este bine sa fie marcat prin scrierea pe o placuta puternic
adeziva si greu de îndepartat numele proprietarului si numarul sau de
telefon;
retinerea seriei calculatorului, a datei cumpararii, a altor date de
identificare - si pastrarea lor la loc sigur;
înainte de a calatori cu un laptop, încheierea unei polite de asigurare
pentru el (o companie care se ocupa de acest fel de asigurari este
Safeware – www.safeware.com);
realizarea frecventa de copii de siguranta ale informatiei, care nu trebuie
pastrate în aceeasi servieta;
utilizarea, pe cât posibil, a unor parole pentru securitatea informatiei din
computer –care sa nu fie salvate de catre acesta si care sa nu fie folosite
Securitatea informatiei
- pagina 14 -
Andrei Creosteanu
Grupa i201
Securitatea informatiei
- pagina 15 -
pentru a sustine aplicatii personale (care nu cereau neaparat wireless, ca a oricaror tehnologii noi, este cu un pas înaintea
o securitate robusta). Adesea, problemele de securitate îsi au securizarii acestora.
originea în deciziile nesatisfacatoare din timpul proiectarii. În
momentul în care asistentilor personali digitali li se cere Bibliografie:
gazduirea unor aplicatii financiare sau medicale, riscul devine 1. Danda, M., Protect Yourself Online, Microsoft Press, 2001
evident. Administrarea slaba a memoriei creeaza o alta gaura 2. Denning, D. F., Information Warfare & Security, Addison –
în securitatea lor. Dispozitivele portabile cu putere mica nu au Wesley, Massachusetts, 1999
capacitatea de a marca sectiuni de memorie ca „read-only”. 3. King, M. C., Dalton, E. C., Osmanoglu, T. E., Security
Daca un virus patrunde în sistem sau daca dispozitivul este Architecture (Design, Deployment & Operations), McGrawHill,
furat, printr-o aplicatie se poate citi sau scrie în memorie sau 2001
interactiona direct cu procesorul sistemului – rezultatele 4.http://www.cisco.com/global/RO/solutions/smb/avvid_soluti
neplacute pot fi citirea înregistrarilor, stergerea datelor sau ons/mobility_home.shtml
programelor sau, mai grav, distrugerea fizica a dispozitivului. 5. http://www.hcssystems.com/wireless1/
6.
În concluzie... http://www.infosecuritymag.com/articles/january02/cover.sht
Importanta securitatii în domeniul wireless ml
deriva din faptul ca datele 7. http://www.netreport.ro/pcrep118/loudon.shtml
transportate prin retelele radio sunt de fapt 8.http://searchnetworking.techtarget.com/qna/0,289202,sid7
datele care circula în mod obisnuit _gci848369,00.html
prin retelele traditionale ale organizatiilor 9. http://www.smartnews.ro/Wireless/2139.htm
(de exemplu rapoarte de vânzari, Hyperlinks:
proiecte ale noilor produse sau înregistrari BazeDeDate.xls
medicale). Ele sunt adesea
confidentiale sau chiar secrete si necesita o protectie
adecvata. Problema protejarii lor este mai sensibila decât în
retelele „clasice”, pe de o parte pentru ca dispozitivele
portabile au înca multe neajunsuri în domeniul securitatii, iar
pe de alta parte pentru ca implementarea tehnologiilor