Securitatea Informatiei

Cursul 1
Introducere
Prof. univ.dr. Constantin Popescu
Departamentul de Matematica si Informatica
http://webhost.uoradea.ro/cpopescu/curs-si.html

Prof.dr. C. Popescu

Securitatea Informatiei

Securitatea Informatiei
Curs: Prof.univ.dr. Constantin Popescu

Miercuri, Sala C103, intre orele 8.00-10.00.

Obiective: Insusirea cunostintelor referitoare la:

Securitate, atacuri de securitate, servicii de securitate

Protocolul Kerberos, Certificate digitale
Protocoale pentru securitatea postei electronice
Protocoale TCP/IP, securitatea Web
Protocoale de securitate Internet (SSL, TLS si SET)

Metode de predare:

expunere cu videoproiectorul, tabla

Modul de evaluare: colocviu
Prof.dr. C. Popescu

Securitatea Informatiei

Bibliografie
William Stallings, Cryptography and

Network Security, Prentice Hall, USA,

4edition, 2006.
Constantin Popescu, Horea Oros,
Securitatea retelelor de calculatoare, Ed.
Universitatii din Oradea, 2004.

Prof.dr. C. Popescu

Securitatea Informatiei

Coninutul cursului
De ce securitatea informatiei?
Probleme de securitate
Cauza problemelor de securitate
Scopurile securitii informaiei
Metode de aparare
Principii de securitate

Prof.dr. C. Popescu

Securitatea Informatiei

De ce securitatea informatiei?
Calculatoarele sunt atacate si pot suferi

defectiuni
Cine sunt atacatorii?
adolescenti, criminali, indivizi din crima organizata
Tari inamice, spionaj industrial, angajati furiosi, etc.

De ce fac asta?
Pentru distractie, imitatie, faima, profit, etc.
Calculatoarele sunt acolo unde sunt si bani.

Prof.dr. C. Popescu

Securitatea Informatiei

Probleme de securitate
Viermi (Computer worms)
Morris worm (1988), Melissa worm (1999)
Virusi (Computer viruses)
Atacuri de tip refuz de servicii (denial of service)
Email spam
Nigerian scam, recomandari vinzari actiuni bursa
Furturi de identitate, Gauri de securitate in diferite

sisteme
Votul electronic

Spyware
Prof.dr. C. Popescu

Securitatea Informatiei

Probleme de securitate
Vulnerabilitati CERT
6000
5000
4000
3000
2000
1000
0

1995

1997

1999

2001

2003

2005

http://www.cert.org/stats/
Prof.dr. C. Popescu

Securitatea Informatiei

Cauzele acestor probleme de

securitate
Bug-uri software si greseli de configurare, etc.
Factori care contribuie la aceste greseli:

Putine cursuri in securitatea informatiei

Cartile de programare nu explica problemele de
securitate
Putine audituri de securitate
Limbaje de programare nesigure
Programatorii sunt indolenti la problemele de
securitate
Consumatorii nu le pasa de securitate
Securitatea face lucrurile mai greu de utilizat
Securitatea este dificila, scumpa si consumatoare de
timp
Prof.dr. C. Popescu

Securitatea Informatiei

Scopul cursului
Sa invatati sa preveniti atacurile de securitate si

sa limitati consecintele.
Exista sisteme complexe cu erori; erorile pot fi
exploatate
Foarte multe posibilitati de atac
Foarte multe metode specifice pentru scopuri
specifice
Sa invatati sa gaditi la securitatea sistemelor
Sa intelegeti si sa aplicati principiile securitatii
informatiilor
Prof.dr. C. Popescu

Securitatea Informatiei

Obiectivele securitii informaiei

Confidentialitate (secrecy, privacy):

Acces la informatii doar a acelora care sunt

autorizati
Integritate:
Modificari ale informatiilor numai de catre
entitati autorizate si folosind cai autorizate
Disponibilitate:
Informatiile sa fie disponibile doar pentru cei
autorizati

Prof.dr. C. Popescu

Securitatea Informatiei

10

Termeni utilizati
Vulnerabilitati (weaknesses)
Amenintari (threats)
Scenarii potentiale de atac
Atacuri
Controale
Masuri de securitate

Prof.dr. C. Popescu

Securitatea Informatiei

11

Metode de aparare
Prevenire
Impiedicare (a pune obstacole)
Deviere
Detectare
Recuperare

Prof.dr. C. Popescu

Securitatea Informatiei

12

Principii de securitate
Principiul celei mai vulnerabile legaturi
Principiul unei protectii adecvate
Tinta nu este sa maximizeze securitatea, ci sa
maximizeze utilitatea, astfel incit sa se limiteze
riscul la un nivel acceptabil cu cost rezonabil
Principiul eficacitatii
Controalele trebuie facute corect si corespunzator
astfel incit sa fie eficace. Sa fie eficiente, usor de
utilizat si adecvate
Principiul de aparare in adancime, profunzime
Securitatea prin lipsa de claritate (obscuritate)

trebuie evitata
Prof.dr. C. Popescu

Securitatea Informatiei

13

Niveluri de securitate
Computerele au multiple niveluri:
Hardware
Sisteme de operare
Sisteme software, de ex., baze de date, etc
Aplicatii
Computerele sunt conectate la retele
Computerele sunt utilizate de utilizatori

(oameni)-apar erori umane

Prof.dr. C. Popescu

Securitatea Informatiei

14

Elemente de securitate furnizate

de sistemul de operare
Permite utilizatorilor multipli sa se

conecteze la un computer
Separare si partajare in comun de procese,
memorie, fisiere, device-uri, etc.

Cum se realizeaza?
Prin protectia memoriei
Moduri procesor
Autentificare
Controlul accesului la fisiere
Prof.dr. C. Popescu

Securitatea Informatiei

15

Elemente de securitate furnizate

de sistemul de operare
Asigura operare sigura in retea
Cum?
Autenticitate
Controlul accesului
Comunicatii sigure (folosind criptografia)
Elemente de logare si auditare (verificare)
Prevenirea si detectia intrusilor
Recuperarea

Prof.dr. C. Popescu

Securitatea Informatiei

16

Controlul accesului la memorie

Asigura ca procesul unui utilizator nu

acceseaza memoria altui proces

Realocare
Segmentare
Paginare

Sistemul de operare si procesele utilizator

trebuie sa aiba privilegii diferite

Prof.dr. C. Popescu

Securitatea Informatiei

17

Moduri de rulare ale

procesorului
Modul sistem (priviligiat, master, supervisor,

kernel)

Poate executa orice instructiune si poate accesa orice

locatie de memorie, poate accesa periferice, activa
si dezactiva intreruperi, poate accesa unitatea de
management a memoriei, modifica registrii, etc .

Modul utilizator
Accesul la memorie este limitat, nu poate executa
anumite instructiuni
Nu poate dezactiva intreruperi, nu poate accesa
unitatea de management a memoriei
Trecerea de la modul utilizator la modul sistem

se face prin apeluri sistem speciale.

Prof.dr. C. Popescu

Securitatea Informatiei

18

Mecanisme de securitate in
spatiul utilizator
Autenticitate
Controlul accesului
Elemente de logare si auditare
(verificare)
Detectia intrusilor
Recuperare

Prof.dr. C. Popescu

Securitatea Informatiei

19

Autentificarea utilizatorului
Se utilizeaza metode pentru validarea

utilizatorului pentru a avea acces la sistem

sau resurse, pentru a se asigura ca este
autorizat
Exemple:
Conturi de utilizatori cu parole (User accounts
with passwords)
Carduri inteligente (smart cadrs)
Elemente de Biometrie
Prof.dr. C. Popescu

Securitatea Informatiei

20

Amenintari asupra parolelor

Inginerie Sociala:
Pretexte: se creaza scenarii, de regula prin
email sau telefon
Ascultare (Eavesdropping)
Incercari Online
Atacuri folosind cuvinte uzuale din

dictionar (Offline dictionary attacks)

Prof.dr. C. Popescu

Securitatea Informatiei

21

Elemente de contracarare
Sistemul trebuie sa permita parole lungi
Sa genereze parole in mod aleator
Sa verifice calitatea parolei utilizatorului:
Sa utilizeze un set de reguli
Sa ruleze un mic program pentru a verifica cuvinte
uzuale din dictionar
Sa dea sugestii utilizatorului in alegerea parolei:
De ex., stabiliti o fraza si alegeti caractere din ea,
Its 14 and I am hungry =rezulta parola:
IS14&IAH
Avertizare expirare parola
Prof.dr. C. Popescu

Securitatea Informatiei

22

Elemente de contracarare
Sistemul trebuie sa protejeze fisierul cu parole

(criptografia & controlul accesului)

Dezactiveaza contul dupa incercari repetate si
esuate de conectare
Sa utilizeze parolele grafice combinate cu cele
tastate
Sa utilizeze si alte elemente de securitate:
Element special de securitate (security tokens-USB
tokens)
Elemente de biometrie
2 factori de autentificare (parola si scanarea retinei)
Bancile din SUA folosesc 2 factori de autentificare din
2006 pentru transferuri online (online banking)
Prof.dr. C. Popescu

Securitatea Informatiei

23

Elemente de Etica
Discutam despre vulnerabilitati si atacuri:
Multe vulnerabilitati au fost fixate
Mai exista atacuri care pot provoca daune
Nu incercati atacuri de la calculatorul de acasa
Scopul acestui curs:
Sa invatati sa preveniti atacuri de securitate
Sa utilizati cunostintele invatate pentru scopuri
oneste

Prof.dr. C. Popescu

Securitatea Informatiei

24

Cazuri celebre de crackeri

David Smith
A creat virusul Melissa: 20 luni inchisoare
Ehud Tenenbaum (The Analyzer)
A spart calculatoarele US DoD
A facut 8 luni de inchisoare
Dmitry Sklyarov
A spart Adobe ebooks
Arestat de FBI, persecutat de DMCA, a stat in
inchisoare 20 de zile
Prof.dr. C. Popescu

Securitatea Informatiei

25