Amenințări cibernetice PDF
Document Details
Uploaded by Deleted User
Tags
Summary
Acest document prezintă amenințările cibernetice și conceptele de bază în securitatea sistemelor de calcul. Sunt explorate motivațiile și tipurile de atacuri cibernetice, precum și soluții de securizare.
Full Transcript
1. Introducere în Securitatea Sistemelor de Calcul În fiecare zi, suntem expuși amenințărilor din mediul virtual, indiferent de locul în care ne aflăm, și, adesea, nu ne dăm seama de ele, sau, dacă le identificăm, nu reacționăm adecvat. Incidentele de securitate pot afecta individul, famili...
1. Introducere în Securitatea Sistemelor de Calcul În fiecare zi, suntem expuși amenințărilor din mediul virtual, indiferent de locul în care ne aflăm, și, adesea, nu ne dăm seama de ele, sau, dacă le identificăm, nu reacționăm adecvat. Incidentele de securitate pot afecta individul, familia, societatea și/sau instituții/organizații, iar, pe măsură ce tot mai multe activități migrează în mediul virtual, riscurile vor crește, motiv pentru care actorii din domeniul informatic sunt (sau ar trebui să fie!) tot mai preocupați de securitatea sistemelor de calcul și a datelor pe care le conțin. În spațiul virtual se desfășoară numeroase acțiuni ostile care pot pune în pericol sistemele informatice și datele transmise prin intermediul lor și, cu toate acestea, utilizatorii ignoră sau subestimează nevoia de securitate a infrastructurilor cibernetice. Acțiunile oamenilor în mediul virtual, devenit parte integrală a vieții personale și profesionale, sunt adesea de neînțeles și pot conduce la incidente de securitate. Această problemă este exacerbată de complexitatea noilor tehnologii, care, alături de necunoaștere, ignoranță sau neatenție, induc riscuri noi ce pot afecta grav atât indivizii, cât și organizațiile / instituțiile private și de stat. Așadar, datele personale, informațiile financiare, infrastructura critică și chiar securitatea națională pot fi puse în pericol de atacuri cibernetice din ce în ce mai sofisticate. De aceea, este esențial să înțelegem și să studiem metodele de protejare a datelor și a rețelelor noastre, precum și să ne dezvoltăm competențe în detectarea și contracararea amenințărilor cibernetice. 1.1. Concepte de bază în securitatea cibernetică. Securitatea sistemelor de calcul are în vedere protejarea dispozitivelor informatice, a rețelelor și a datelor împotriva unor amenințări informatice (atacurile informatice, furtul de date, alte activități cu caracter ilicit) și se referă la persoanele și ansamblul măsurilor și practicilor implicate în protejarea sistemelor de calcul, a rețelelor și datelor împotriva acțiunilor cu caracter malițios din mediul virtual (virusuri, malware-uri, atacuri cibernetice, acces neautorizat, etc.). Numim amenințare informatică orice acțiune sau eveniment care poate cauza daune sau poate compromite securitatea unui sistem de calcul / calculator sau a unei rețele informatice. Amenințările informatice pot varia de la viruși și malware-uri la atacuri cibernetice avansate. În general, cei care acționează ilicit în mediul virtual vizează să descopere și să profite de una sau mai multe vulnerabilități. O vulnerabilitate reprezintă o slăbiciune sau o deficiență într- un sistem sau aplicație care poate fi exploatată de către un atacator pentru a pune în pericol sau compromite securitatea sau pentru a obține acces neautorizat. Orice acțiune intenționată a unui atacator cu rol de discreditare a securității unui sistem sau a unei rețele este cunoscută sub denumirea de atac informatic. Atacurile pot varia de la simple tentative de acces neautorizat la acțiuni sofisticate, precum atacuri distribuite de tip refuz- serviciu (distributed denial-of-service, DDoS) sau cele de tip zero-day. 2. Atacul informatic Atacul informatic, cunoscut și sub denumirea de atac cibernetic sau atac asupra securității cibernetice, reprezintă o acțiune rău intenționată care urmărește să afecteze funcționarea normală a sistemelor sau infrastructurilor informatice prin destabilizarea, blocarea, preluarea controlului, degradarea sau chiar distrugerea lor. Un atac informatic se poate manifesta, de asemenea, prin afectarea gravă a integrității (modificare sau ștergere), vulnerabilizarea și expunerea datelor sensibile (ex. documente confidențiale, date cu caracter restricționat, contracte economico-financiare, patente, etc.), cu efecte greu de cuantificat la nivelul deținătorilor de drept ai respectivelor date. Motivațiile celor care recurg la atacuri informatice pot fi extrem de variate. Grupul sau individul în cauză, scopul atacului și circumstanțele specifice sunt factori care pot determina tipul și amploarea unui atac. Motivele comune ale atacurilor informatice sunt: - profit financiar: unul dintre motivele principale este obținerea unui profit financiar. Atacatorii pot viza furtul de date personale sau financiare, săvârșind fraude online, să extragă criptomonede prin minerit ilegal sau să ceară răscumpărări în urma unui atac de tip ransomware. - motivație ideologică: grupurile sau indivizii cu anumite credințe politice sau ideologice pot efectua atacuri pentru a-și promova sau apăra cauza. Aceste atacuri pot viza guverne, organizații sau instituții care sunt percepute ca adversari ideologici. - spionaj cibernetic: agenții de informații ale statelor pot efectua atacuri cibernetice pentru a obține informații secrete, militare sau economice de la alte țări sau organizații, în interesul național. - sabotaj: unele atacuri pot fi motivate de dorința de a provoca daune sau haos în cadrul unei organizații sau a unei țări. Acest lucru poate fi realizat pentru a submina securitatea națională sau pentru a răzbuna anumite acțiuni sau evenimente. - testarea abilităților tehnice: unii atacatori pot acționa doar pentru a-și demonstra abilitățile tehnice sau pentru a testa vulnerabilitățile unui sistem sau rețea. Acest tip de atac nu va fi catalogat ca malițios atunci când este lansat în medii controlate, cu scopul de a îmbunătăți securitatea sistemelor. - vandalism digital: anumite atacuri cibernetice pot fi efectuate pur și simplu din dorința de a vandaliza sau de a distruge, fără un scop specific sau ulterior. Acestea pot avea consecințe disruptive sau costisitoare pentru victime. - dorința de notorietate: unii atacatori pot căuta notorietate sau recunoaștere în lumea cibernetică, lansând atacuri pentru a-și demonstra abilitățile sau pentru a deveni cunoscuți în comunitatea underground. - teribilism: unele atacuri pot fi lansate de persoane fără vreo motivație evidentă, care sunt, de obicei, pasionate de domeniul informatic și, în acest fel, încearcă să-și valideze cunoștințele teoretice. Este important să înțelegem că motivele pot varia considerabil și că atacurile cibernetice pot fi efectuate de indivizi sau grupuri cu interese diverse. Protejarea împotriva acestor amenințări necesită eforturi continue de securitate cibernetică, educație și colaborare între organizații și comunități, astfel încât impactul asupra sistemelor informatice să fie minim. Consecințele comune ale atacurilor informatice sunt: - furtul de date: atacatorii pot încerca să acceseze și să sustragă informații sensibile (date personale, informații financiare, date confidențiale cu privire la afaceri, patente, secrete economice și de stat, etc.) pentru a le utiliza în scopuri ilegale sau pentru a le vinde pe piața neagră; - distrugerea sau destabilizarea sistemelor: atacurile pot viza deteriorarea sau blocarea funcționării unui sistem sau serviciu, cu scopul de a crea haos sau pagube semnificative. Atacurile de acest fel pot afecta infrastructura critică (rețele electrice, sisteme de apă, sisteme de transport gaze naturale, transportul public, sistemele de comunicație, etc.) locală sau la nivelul unor regiuni vaste și au potențialul de a zdruncina administrații locale sau de stat; - extorcarea: unele atacuri pot viza șantajarea victimelor, cărora li se promite că li se va restabili accesul la datele sau sistemele afectate în schimbul unei răscumpărări; - spionajul cibernetic: atacurile cibernetice urmăresc colectarea de informații secrete, militare sau de stat, aparținând unor țări sau organizații. Atacatorii pot fi indivizi, agenții de informații, state sau chiar grupuri de state care conlucrează în vederea obținerii unor avantaje militare, economice, informaționale, etc. - sabotajul: atacurile cibernetice pot fi folosite ca parte a unor acțiuni de sabotaj îndreptate împotriva unor organizații sau guverne, având ca scop destabilizarea sau slăbirea acestora. Pentru a evita sau minimiza efectele atacurilor cibernetice, este esențială implementarea unei serii de măsuri de securitate cibernetică. 3. Contramăsuri Gravitatea consecințelor unui atac informatic nu poate fi anticipată și, uneori, urmările se pot perpetua pe intervale mari de timp, așa că, pentru a se proteja împotriva atacurilor cibernetice, este indicat ca organizațiile și persoanele fizice să adopte măsuri de securitate cibernetică adecvate. De asemenea, în cazul instituțiilor / întreprinderilor, este imperativă educația angajaților cu privire la amenințările cibernetice. Evaluarea și controlul sistemelor informatice și a modului lor de utilizare, ca parte a politicilor și procedurilor de securitate, sunt măsuri menite să elimine sau măcar să limiteze efectele nedorite ale unor eventuale atacuri cibernetice. Măsurile comune, dar foarte eficiente, pentru asigurarea securității sistemelor de calcul sunt: - actualizarea sistemelor: sistemele, software-ul și dispozitivele trebuie actualizate în mod regulat cu cele mai recente patch-uri de securitate pentru a remedia vulnerabilitățile cunoscute; - utilizarea firewall-ului: firewall-urile protejează rețelele și dispozitivele interconectate împotriva accesului neautorizat și pot fi configurate pentru a bloca traficul nedorit; - antivirus și anti-malware: instalarea și actualizarea programelor antivirus și anti- malware, cu rol în detectarea și eliminarea amenințărilor cibernetice (viruși, troieni și spyware-uri) sunt acțiuni esențiale pentru a evita efectele unor atacuri informatice; - autentificare în doi factori (2FA): implementarea soluțiilor de autentificare în doi factori, oriunde este posibil, adaugă un nivel suplimentar de securitate, constând în necesitatea utilizării la autentificare a unei parole suplimentare, generate pe un alt dispozitiv (ex. pe telefonul mobil); - politici de securitate robuste: organizațiile / instituțiile trebuie să proiecteze și să implementeze politici de securitate care să includă reguli pentru gestionarea parolelor, controlul accesului la date și dispozitive, și alte practici esențiale. - educație și conștientizare: educația cu privire la securitatea cibernetică este imperativă la orice vârstă, pentru orice fel de utilizator al dispozitivelor informatice. În cadrul organizațiilor / instituțiilor / întreprinderilor, angajații trebuie educați cu privire la amenințările cibernetice, pentru a nu vulnerabiliza sistemele informatice prin lipsa de cunoaștere sau neglijență. - monitorizare și detecție: soluțiile de monitorizare a rețelelor și sistemelor permit detectarea, în timp real, a activităților neobișnuite sau a unor potențiale amenințări. Raportarea și răspunsul rapid la incidentele de securitate sunt cruciale în încercarea de minimizare a efectelor nocive ale atacurilor; - backup-ul datelor: realizarea în mod regulat a copiilor de rezervă ale datelor critice poate poate fi unica soluție pentru recuperarea datelor în cazul unui atac de tip ransomware sau a pierderii de date; - segmentarea rețelei: Separarea rețelei în segmente sau zone cu acces controlat poate limita răspândirea unui atac în cazul în care un dispozitiv sau o zonă este compromisă; - colaborare și raportare: Comunicarea și colaborarea cu alte organizații, guverne și furnizori de servicii pentru a raporta și a contracara amenințările cibernetice sunt esențiale pentru limitarea impactului atacurilor informatice; - servicii de securitate cibernetică: atunci când resursele sunt limitate, pot fi accesate servicii de securitate cibernetică oferite de companii specializate, care pot oferi monitorizare și protecție avansată; Securitatea cibernetică este un efort continuu și dinamic și, pe măsură ce amenințările evoluează și devin din ce în ce mai rafinate, strategiile și practicile de securitate trebuie actualizate și îmbunătățite. Exemple Pentru a înțelege amploarea și efectele pe care le pot avea atacurile cibernetice, este util să studiem câteva cazuri celebre. 1. Atacul cibernetic asupra Sony Pictures (2014) În noiembrie 2014, Sony Pictures Entertainment a fost victima unui atac cibernetic masiv, care a dus la expunerea a sute de GB (gigabytes) cu date sensibile aparținând companiei, inclusiv e-mailuri, documente interne, contracte, planuri de marketing, informații financiar-contabile și chiar materiale de film neînregistrate. De asemenea, datele personale ale angajaților Sony Pictures, inclusiv nume, adrese, numere de asigurare socială și chiar informații medicale, au fost compromise și făcute publice. Atacul a început cu o intrare neautorizată în rețeaua Sony Pictures. Atacatorii au reușit să obțină acces la rețea prin intermediul unor credențiale de utilizator furate sau prin exploatarea unor vulnerabilități de securitate. După ce au obținut acces, atacatorii au folosit un software malițios, "Wiper" (ștergător), pentru a răspândi malware-ul în rețea cu rolul de a cripta și de a șterge datele de pe sistemele Sony Pictures. În timpul atacului, hackerii au lăsat un mesaj pe ecranele calculatoarelor Sony Pictures, cerând o anumită sumă de bani drept răscumpărare pentru decriptarea datelor, amenințând, de asemenea, că, dacă cerințele nu le vor fi îndeplinite, vor face publice datele compromise. Sony Pictures nu a plătit răscumpărarea, iar hackerii au început să publice pe Internet datele furate, incluzând e-mailuri interne, contracte de film, scenarii și alte documente confidențiale ale companiei. Compania Sony Pictures a suferit daune financiare semnificative în urma acestui atac, fiind nevoită să plătească pentru recuperarea și securizarea datelor, pentru îmbunătățirea securității cibernetice în vederea prevenirii unor incidente similare în viitor, precum și despăgubirea angajaților care au avut de suferit în urma dezvăluirii publice a datelor de identificare. Atacul a afectat semnificativ reputația Sony Pictures și a evidențiat vulnerabilitatea organizațiilor în fața amenințărilor cibernetice, precum și impactul semnificativ pe care aceste amenințări îl pot avea asupra afacerilor și reputației companiilor. Acuzat de acest atac a fost grupul de hackeri nord-coreeni, cunoscut sub numele de "Guardians of Peace". Acțiunea rău intenționată a fost asociată cu filmul "The Interview," care critica liderul nord-coreean Kim Jong-un. Atacul asupra Yahoo (2013-2014) În 2016, Yahoo a dezvăluit că a fost afectat de două atacuri cibernetice majore între 2013 și 2014, care au afectat peste un miliard de conturi de utilizatori. Date personale, inclusiv adrese de e-mail, parole și informații personale, au fost compromise în aceste atacuri, ceea ce a avut un impact semnificativ asupra utilizatorilor Yahoo. Atacatorii nu au folosit un software malițios specific, ci au avut o abordare mai complexă, care a început cu o infiltrare neautorizată în rețeaua Yahoo obținută ca urmare a unei campanii de phishing. E-mailurile de phishing conțineau atașamente infectate sau link-uri către angajații Yahoo și, odată ce un angajat a dat clic pe un astfel de link sau a descărcat un atașament infectat, atacatorii au obținut control asupra unui cont de e-mail intern Yahoo, de unde au avut posibilitatea de a se deplasa tot mai adânc în rețea. Odată ce au obținut acces în rețea, atacatorii au avut acces la datele personale ale utilizatorilor: adrese de e-mail, parole criptate, întrebări și răspunsuri pentru recuperarea parolelor, etc. Atacatorii au profitat de vulnerabilități ale rețelei Yahoo și erori umane pentru a-și extinde accesul și, implicit, controlul asupra sistemelor și, de asemenea, să rămână nedetectați și să aibă acces la date și facilități Yahoo pentru o perioadă lungă de timp. Atacul a dus la schimbarea modului în care Yahoo abordează securitatea cibernetică și a avut impact asupra achiziției sale de către Verizon Communications, care a cerut o reducere a prețului de achiziție ca urmare a dezvăluirii acestui incident de securitate. WannaCry WannaCry, cu versiunile Wcrypt, WCRY, WannaCrypt sau Wana Decrypt0r 2.0, a fost un ransomware care a exploatat o vulnerabilitate de tip "EternalBlue", pentru a infecta sute de mii de computere din întreaga lume. Malware-ul a fost distribuit, în principal, prin intermediul e-mailurilor de phishing și prin intermediul vulnerabilității "EternalBlue" în sistemele de operare Windows neactualizate, iar, după ce infecta un computer, încerca să se răspândească în rețeaua locală pentru a infecta și alte dispozitive. Ransomware-ul WannaCry se manifesta prin criptarea fișierelor de pe calculatoarele infectate, făcându-le inaccesibile utilizatorului, acțiune urmată de afișarea pe ecranul victimelor a unei cereri de răscumpărare contra unei sume de bani în Bitcoin pentru a furniza cheia de decriptare (fig. 1). Cererea era însoțită de avertismentul că, dacă răscumpărarea nu era plătită într-o anumită perioadă de timp, datele criptate urmau a fi pierdute definitiv. Trebuie spus că plata răscumpărării nu garanta primirea cheii de decriptare și recuperarea datelor, motiv pentru care victimele au fost sfătuite să nu dea curs cererii atacatorilor și să apeleze la experți în securitate cibernetică pentru a încerca recuperarea datelor fără a plăti răscumpărarea. Cele mai la îndemână soluții de contraatac au fost și sunt actualizarea constantă a sistemelor și implementarea soluțiilor de securitate adecvate. Impactul randsomware-ului a fost semnificativ și a afectat afectat organizații din mai multe țări, inclusiv spitale, instituții guvernamentale și companii mari, fapt care a determinat autoritățile și dezvoltatorii de soluții de securitate cibernetică să se implice intens în vederea limitării daunelor. Principala contramăsură a fost oferită de un cercetător în securitate cibernetică care a descoperit o opțiune de dezactivare în codul ransomware-ului, un așa-numit "kill switch", care a permis limitarea răspândirii acestuia, însă, pentru computerele deja infectate a fost, în cele mai multe cazuri, tardiv. Fig. 1 WannaCry – cerere de răscumpărare Versiuni ulterioare ale WannaCry au eliminat respectivul “kill switch” și au încercat o propagare la o scară chiar mai mare. Atacul WannaCry a avut un impact semnificativ asupra modului în care sunt abordate și percepute amenințările cibernetice la nivel global, iar apariția sa a condus la consolidarea atenției asupra securității cibernetice și la implementarea unor măsuri mai eficiente de prevenire și protecție. 4. Tipuri de atacuri informaționale Istoric Primul software cu comportament similar unui virus a primit numele de Creeper (trad. din engl., vierme, ființă târâtoare) și a fost dezvoltat de către programatorul Bob Thomas, în 1971, în timp ce firma sa era implicată în dezvoltarea ARPANET, precursorul Internetului. Programul se răspândea prin intermediul rețelei ARPANET și infecta calculatoarele pe care era instalat sistemul de operare TENEX. Creeper exploata o vulnerabilitate a sistemului de operare pentru a se autoreplica pe calculatoarele conectate la rețea și se manifesta prin afișarea pe ecran a mesajului “I'm the creeper, catch me if you can!”, după care încerca să se autodistrugă. Deși ar fi putut să producă pagube notabile, Creeper a fost doar un experiment, iar dezvoltarea sa nu a avut un scop malefic, ci doar de a demonstra capacitatea unui program de a se deplasa în rețea. Experimentul a dus la dezvoltarea Reaper (trad. din engl., secerător), un program similar softurilor antivirus de azi, destinat să caute, să identifice și să elimine Creeper de pe calculatoarele infectate. Malware-ul Malware-ul sau software-ul malefic se referă la un program dezvoltat cu scopul de a cauza daune sau de a efectua acțiuni rău intenționate pe un sistem informatic, dispozitiv sau rețea, fără consimțământul sau cunoștința utilizatorului. Termenul de malware are caracter de vastă generalitate, iar, în formele sale specifice, poate include viruși, troieni, programe randsomware, spyware, adware, worms, keylogger-e, etc. Nu există o soluție unică pentru evitarea atacurilor informatice, dar implementarea unui set de măsuri de securitate cibernetică, atenția la detaliu și buna practică în utilizarea tehnologiei pot reduce semnificativ riscul de infectare cu malware. Virus Virușii sunt programe malware care se atașează altor fișiere sau programe (de obicei, fișiere executabile) și care, după ce au pătruns în sistem, se activează ca urmare a unei serii de evenimente sau condiții, cum ar fi o dată și o oră specifică, o acțiune specifică a utilizatorului sau un alt eveniment predeterminat. După infectare, virusul începe să se autocopieze în sistem și să se răspândească către alte fișiere sau programe, pe care le modifică le înlocuiește cu versiuni infectate. Pentru a evita detectarea, virusul poate cripta sau modifica fișierele de sistem, afectând performanța sistemului și / sau datele. Au potențial de a corupe sau de a șterge date, de a săvârși acțiuni nedorite sau de a compromite funcționalitatea unui sistem, însă costurile sunt greu de cuantificat. Virușii se răspândesc, de obicei, prin Internet, iar modalitățile principale de infectare sunt: - descărcarea fișierelor neverificate de pe Internet; - schimbul de fișiere peer-to-peer; - descărcarea atașamentelor infectate primite prin email; - utilizarea drive-urilor de memorie care conțin fișiere infectate; Trojan (Trojan Horse) Un trojan este un software malițios (malware) care pare legitim, motiv pentru care utilizatorii sunt păcăliți să-l lanseze în execuție. Pe lângă furtul de date, un trojan poate efectua diverse acțiuni nocive (ex. instalarea altor malware-uri) sau poate oferi atacatorului acces la dispozitivul infectat. Troienii sunt adesea distribuiți sub forma unor programe utile (jocuri, programe gratuite sau actualizări ale unor software-uri) pe care utilizatorii le descarcă și le rulează, crezând că sunt legitime. Odată ce troianul a fost descărcat și activat, acesta se instalează pe sistemul dispozitivului și începe să ruleze în fundal, fără să ofere nicio indicație vizibilă asupra existenței sale. În funcție de scopul pentru care au fost creați, troienii pot efectua acțiuni malefice precum: - furt de date: pot colecta informații personale, bancare, parole, pe care le pot trimite către atacatori; - acces și control de la distanță: pot permite atacatorilor să preia controlul asupra sistemului sau dispozitivului infectat, permițându-le să efectueze acțiuni precum descărcarea de alte malware sau spionarea utilizatorului; - propagare malware: pot răspândi malware în rețelele de contact ale utilizatorului; - reducerea performanțelor sistemului: pot utiliza resursele sistemului, cum ar fi procesorul sau memoria RAM, pentru a-și efectua acțiunile malefice, reducând semnificativ performanțele sistemului; - trimitere de mesaje spam: troienii pot folosi sistemul infectat pentru a trimite spam; - distrugere de date: pot șterge sau corupe datele de pe sistemul infectat, determinând pagube semnificative; - camuflaj: pentru a rămâne ascunși, troienii pot modifica fișierele de sistem sau să-și schimbe numele și locația, făcând, astfel, dificilă detectarea și eliminarea lor. Worm Programele de tip worm (vierme) informatic reprezintă o formă de programe rău intenționate care au capacitatea de a se replica și de a se răspândi în mod independent în rețea pentru a infecta dispozitivele informatice interconectate. Metodele de răspândire ale programelor worm sunt variate (site-uri web infectate, rețele peer-to-peer, e-mail, atașamente, etc) și, asemenea celorlalte forme de malware, au potențial distructiv semnificativ nu doar pentru fiecare dispozitiv în parte, pe care pot distribui alte tipuri de programe dăunătoare, ci și pentru rețele, pe care le pot congestiona. Programele worm nu au nevoie de programe gazdă sau de acțiuni umane pentru a se replica și răspândi și, prin prisma faptului că pot infecta foarte multe sisteme într-un timp foarte scurt, se poate spune că sunt unele dintre cele mai periculoase forme de malware. Backdoor Programele de tip backdoor (ușa din spate) au ca scop principal să asigure, pentru atacator, o cale secretă de acces la sistemul infectat, dispozitiv sau rețea, în vederea efectuării unor acțiuni precum furtul de date, controlul sistemului, spionaj economic și militar, etc. Caracteristica backdoor-urilor este că sunt proiectate să ruleze în fundal, fără ca utilizatorul să aibă cunoștință că sistemul este infectat, astfel încât atacatorul să aibă asigurat accesul la dispozitiv pe o durată cât mai mare. Răspândirea se poate face prin instalare subversivă, în timpul unui atac, sau deliberată, de către persoane care au acces legitim la sistemul țintă. Spyware Programele de tip spyware (program spion) sunt concepute pentru a permite monitorizarea activității și să colectarea de informații din sistemele infectate, fără cunoștința sau permisiunea utilizatorilor. Un spyware acționează asemenea unui spion, ascuns în fundal, colectând și transmițând atacatorilor date personale, confidențiale (parole, istoricul de navigare pe Internet, informații despre carduri și tranzacții financiare) sau alte date sensibile. Permite, de asemenea, monitorizarea activităților, precum tastele apăsate, click-urile de mouse, e-mail-urile și / sau mesajele text primite și trimise, etc, iar toate datele colectate sunt, de obicei, transmise către un server de unde atacatorii le pot utiliza în diferite scopuri. Spyware-urile se răspândesc prin intermediul fișierelor sau programelor care par legitime și care pot fi descărcate de pe Internet, de pe site-uri Web cu conținut malițios, prin rețele peer- to-peer sau prin intermediul software-urilor piratate. Distribuirea de software prin intermediul dipozitivelor de memorie externă, vizitarea site-urilor Web compromise sau accesarea link-urilor și reclamelor nesigure sunt căi potențiale de infectare cu spyware. Adware Programele de tip adware au ca scop principal generarea de venituri pentru atacatori prin intermediul afișării de anunțuri publicitare, în mod repetat și neutorizat, pe dispozitivele infectate. Pe lângă promovarea serviciilor și produselor unor companii, adware-urile pot direcționa traficul către anumite site-uri Web. Modul de acțiune constă în afișarea invazivă a reclamelor sub forme diverse (banner-e, ferestre pop-up, anunțuri video, etc.). Anunțurile pot fi personalizate pe baza activității și a istoricului de navigare al utilizatorilor pe care adware-ul le monitorizează, însă pot deveni agasante ca urmare a numărului mare de afișări, cu efect negativ asupra experienței utilizator. Adesea, adware-urile sunt instalate simultan cu alte programe sau utilități, dar fără consimțământul utilizatorilor, dar pot fi, de asemenea, primite prin e-mail sau descărcate și instalate, din greșeală, de pe site-uri compromise. Metodele de prevenire și protejare împotriva acțiunii adware-urilor presupun utilizarea software-urilor din surse de încredere, vigilență la instalarea extensiilor din browser și a programelor gratuite sau din surse neverificate, utilizarea aplicațiilor destinate blocării reclamelor (blocker de reclame), instalarea menținerea în stare actualizată a unor programe de tip antivirus și / sau antimalware. Keylogger Keylogger-ele sunt aplicații software sau hardware destinate monitorizării și înregistrării acțiunilor asupra tastaturii unui dispozitiv, în scopul obținerii de informații cu caracter personal, confidențial sau alte date sensibile: parole, date despre carduri bancare, mesaje, istoricul căutărilor pe Internet, etc. Activitatea keylogger-elor este orientată, preponderent, către monitorizarea și înregistrarea tastelor și a combinațiilor de taste pe care le apasă utilizatorul. Datele obținute sunt transmise către atacator sau pot fi stocate local și pot fi utilizate în mod rău intenționat: violarea corespondenței informatice, fraude bancare, spionaj economic și militar, etc. Uneori, keylogger- ele pot deveni instrumente utile pentru părinții care doresc să monitorizeze activitatea copiilor la calculator sau pentru organismele judiciare în lupta împotriva acțiunilor cu caracter fraudulos, fiind folosite, în acest caz, în scop de supraveghere și înregistrare, pe bază de documente juridice emise de autorități competente. Keylogger-ele software pot fi instalate de către utilizator, voit sau accidental, sau de către atacator printr-una dintre metodele de acces neautorizat la dispozitiv. Aplicațiile hardware de tip keylogger presupun montarea lor în proximitatea dispozitivului țintă și pot trece neobservate sau pot fi ignorate de către utilizatorii autorizați, considerând că fac parte din sistemul pe care îl utilizează. Metodele de protejare împotriva acțiunii keylogger-elor sunt similare cu cele aplicate în alte situații de infectare cu malware și presupun descărcarea și instalarea de software-uri de la surse de încredere, evitarea utilizării de software piratat, folosirea unui firewall pentru controlul traficului în rețea, instalarea și menținerea în stare actualizată a programelor de tip antivirus și antimalware. Pentru a limita posibilitățile de violare a corespondenței sau a conturilor bancare, o bună practică este adăugarea unor straturi suplimentare de securitate prin apelarea la autentificarea cu doi sau trei factori. Phishing Phishing-ul este o metodă de atac informatic în care atacatorii încearcă să înșele persoanele pentru a obține informații personale, parole, date financiare, detaliile cardurilor bancare, etc. Atacatorii utilizeză mesaje sau site-uri web false care par a fi de la surse de încredere: bănci, aplicații și site-uri de socializare, organizații, companii sau guverne. Principalele căi de atac sunt: - e-mail-ul: e-mailurile false par autentice și convingătoare, pot conține link-uri către site-uri web false sau pot solicita utilizatorilor să descarce fișiere malware. Uneori, mesajul este imperativ și caută să valorifice reacția dată de surprinderea de moment a persoanelor vizate (“trebuie să vă conectați urgent la contul dumneavoastră și să vă schimbați parola, altfel nu vă veți mai avea acces la serviciile noastre”). Scopul este să determine destinatarii să dezvăluie informații personale sau să efectueze acțiuni nesigure; - mesajele SMS (smishing): similar cu phishing-ul prin e-mail, implică trimiterea de mesaje SMS frauduloase care încearcă să înșele utilizatorii să dezvăluie informații personale sau să efectueze plăți nesigure. - telefonul: atacatorii contactează victimele telefonic, pretind că sunt de la organizații de încredere (spitale, bănci, servicii de poștă și curierat, etc.) și încearcă să obțină informații personale sau să convingă victimele să efectueze transferuri de bani; - site-urilor web false: atacatorii creează site-uri web care par identice cu cele ale organizațiilor legitime și cer utilizatorilor să-și introducă datele personale (parole, detaliile cardurilor bancare, etc.); - rețelele de socializare: mesajele false sau profilurile false de pe rețelele de socializare au menirea de a înșela utilizatorii pentru a obține informații personale și beneficii financiare sau materiale. Adeseori, atacatorii încearcă să valorifice emoțiile utilizatorilor, postând, de exemplu, imagini cu persoane (minore sau adulte) suferinde care au nevoie de ajutor financiar pentru diverse intervenții medicale foarte costisitoare, care trebuie efectuate de urgență; mesajul este însoțit de datele unui cont în care victimele să vireze diverse sume de bani. Phishing-ul poate fi asociat anumitor evenimente, precum calamitățile naturale, războaiele, pandemiile, etc. În mesajele pe care le trimit potențialelor victime, atacatorii pretind că sunt afiliați, de exemplu, unor organizații umanitare și, profitând de emoția creată de respectivul eveniment, cer donații sau beneficii materiale. Phishing-ul poate fi direcționat, atunci când este centrat pe ținte specifice (ex. angajații instituțiilor guvernamentale, ai unei anumite companii, persoanele cu acces la informații sensibile), cu scopul de a obține date confidențiale și beneficii financiare. Măsurile de protecție împotriva phishing-ului împlică, cel puțin: - atenția la mesajele și site-urile web suspecte; - dezvăluirea informațiilor personale sau confidențiale doar după verificarea autenticității cererilor, utilizarea soluțiilor de securitate cibernetică (antivirus, anti- phishing); - educația și conștientizarea angajaților pentru a recunoaște și evita astfel de amenințări. 5. Soluții pentru securizarea sistemelor de calcul Firewall-ul Firewall-ul reprezintă o soluție de securizare a sistemelor de calcul prin controlul comunicării unui sistem (dispozitiv sau rețea) cu exteriorul. Poate fi configurat să permită un anumit tip de trafic, în timp ce pe altele le blochează, limitând, astfel, riscul acțiunilor rău- intenționate asupra respectivului sistem (fig. 2). Fig. 2 Securizarea unui dispozitiv prin intermediul firewall-ului Firewall-urile s-au folosit inițial pentru protejarea rețelelor ample, conținând un număr mare de dispozitive și servere, însă utilizarea lor a devenit comună și în rețelele de mici dimensiuni (precum cele de apartament), dar și pe fiecare dispozitiv în parte. Un firewall funcționeză pe baza unui set de reguli și politici configurabile, printre cele mai importante acțiuni ale sale fiind: a. monitorizarea traficului care intră sau iese dintr-un sistem sau o rețea, incluzând date trimise și primite prin intermediul rețelei, precum și cererile de acces la resursele de rețea; b. analiza pachetelor informaționale pentru a identifica, spre exemplu, adresele IP ale sursei și destinației, numerele de port și tipurile de protocol; c. aplicarea regulilor și politicilor stabilite și configurate de către administratorul sistemului pentru a defini comportamentul firewall-ului în diferite scenarii. De exemplu, accesul la anumite resurse poate fi blocat sau poate fi permis accesul doar anumitor adrese IP și numere de port; d. filtrarea conținutului pentru a bloca accesul la anumite tipuri de conținut web sau pentru a monitoriza și bloca conținutul potențial periculos sau neadecvat; e. funcționarea cu rol de proxy care intermediază conexiunile între utilizator și resursele de rețea pentru a adăuga un nivel suplimentar de securitate; f. efectuarea translației adreselor în rețea, NAT-Network Address Translation, și ascunderea adreselor IP interne pentru a permite mai multor dispozitive să partajeze o singură adresă IP externă; g. generarea de alerte atunci când detectează activitate neobișnuită sau amenințări potențiale; h. jurnalizarea (log) propriei activități pentru a permite analiza evenimentelor și pentru detectarea activităților suspecte. În funcție de tipul de sistem căruia îi este destinat, întâlnim: - firewall-ul network-based (de rețea); - firewall-ul host-based (de dispozitiv). 1. Firewall-ul de rețea Firewall-ul de rețea (network-based firewall) este o combinație hardware-software cu rol în inspectarea pachetelor și filtrarea traficului, pentru a asigura protecția dispozitivelor conectate la rețea împotriva atacurilor, indiferent dacă acestea sunt lansate dinspre Internet sau dinspre rețeaua locală (LAN – Local Area Network). Filtrarea traficului la nivelul firewall-ului se realizează pe baza unei liste de control al accesului (Acces Control List - ACL), în care sunt specificate regulile (ALLOW - DENY) de intrare/ieșire și de tranzitare a pachetelor prin rețea. Regulile din ACL sunt stabilite de către administratorul de rețea și pot face referire la adrese IP, domenii, porturi, programe, protocoale sau chiar la anumite cuvinte cheie. După forma de prezentare, firewall-ul de rețea poate fi un dispozitiv separat, o parte a unui router, sau o componentă a unei soluții cloud de tip Infrastructure-as-a-Service (IaaS). Unele dintre cele mai folosite firewall-uri de rețea sunt: - Cisco Adaptive Security Appliance (ASA), un dispozitiv de securitate hardware care oferă, într-o soluție integrată, funcții de firewall, VPN și gestionare a traficului (fig. 3a); - Fortinet FortiGate, o serie de dispozitive hardware de securitate care includ funcții de firewall, VPN, filtrare a conținutului și protecție împotriva amenințărilor (fig. 3b); - Palo Alto Networks PA Series, o serie de firewal-uri hardware care oferă o abordare integrată pentru securitate, inclusiv protecție împotriva amenințărilor cibernetice și control avansat al aplicațiilor (fig. 3c). - Fig. 3a Cisco ASA Fig. 3b FortiGate Fig. 3c Palo Alto Networks Infrastructura ca Serviciu (IaaS) permite utilizatorilor să implementeze și să gestioneze infrastructura informatică (mașini virtuale, sisteme de operare, programe, rețele, stocare, etc) în cloud. Pentru a asigura securitatea IaaS, este esențial să se utilizeze soluții firewall, adecvat configurate. De obicei, pentru securitatea în cloud există soluții combinate, printre cele mai utilizate fiind: Microsoft Azure Network Security Groups, Amazon Web Services (AWS) Security Groups și Network ACLs, Google Cloud Platform (GCP) Cloud Armor și VPC Firewall, Oracle Cloud Infrastructure (OCI) Security Lists. 2. Firewall-ul host-based Firewall-ul host-based (de obicei, software) este un program care protejează doar dispozitivul pe care este instalat. Spre exemplu, sistemele de operare Windows de ultimă generație sunt prevăzute cu un firewall preinstalat (fig. 4), însă există și soluții alternative, unele de sine-stătătoare, iar altele incluse în diferite pachete, precum programele antivirus. Acestea prezintă funcționalități similare firewall-urilor de rețea, dar la un alt nivel. Cele mai cunoscute firewall-uri de tip host-based sunt: - Windows Defender Firewall, integrat în sistemul de operare Windows, oferă funcționalități firewall de bază, inclusiv controlul accesului la rețea pentru aplicații și servicii; - iptables, o suită de instrumente pentru gestionarea regulilor de firewall și controlul traficului de rețea pe sistemele de operare bazate pe Linux. Fig. 4 Configurarea Windows Defender Firewall În general, marile companii și organizații apelează la sisteme firewall care combină, cel puțin, o soluție network-based cu una host-based, astfel încât riscul de penetrare a sistemului să fie cât mai redus. Antivirusul Programele antivirus sunt parte a măsurilor de securitate cibernetică și au rolul de a preveni, detecta și elimina aplicațiile software de tip malware de pe dispozitivele sau sistemele de operare infectate. Termenul "antivirus" a fost inițial asociat cu programe care vizau exclusiv detectarea și eliminarea virușilor de calculatoare, însă, odată cu extinderea amenințărilor cibernetice, programele antivirus au evoluat și acționează împotriva unei game mai variate de programe malițioase, precum, troienii, spyware-urile, programele de tip worm, randsomware-urile, adware- urile, rootkit-urile, etc. Un antivirus funcționează prin scanarea sistemului pentru semne de malware, cum ar fi modelele de cod rău-intenționat, comportamente suspecte ale unor programe sau alte semnale de activitate neobișnuită. În plus față de scanările programate, multe programe antivirus oferă și protecție în timp real, monitorizând activitatea sistemului pentru a detecta și bloca amenințările imediat ce apar. Actualizarea permanentă a programelor antivirus este imperioasă pentru a le asigura eficacitatea împotriva noilor amenințări de securitate cibernetică care apar. Acțiunea unui antivirus implică mai multe etape și tehnici de identificare, blocare și eliminare a programelor malware, printre care: - scanarea: implică compararea fișierelor din sistem cu o bază de date de semnături cunoscute ale programelor malware. Semnăturile sunt secvențe distinctive de cod asociate cu anumite tipuri de malware și, dacă o semnătură corespunde cu ceva din baza de date, fișierul este considerat suspect. - analiza comportamentală: presupune monitorizarea comportamentului programelor în timpul execuției. Dacă un program începe să aibă un comportament neobișnuit sau să efectueze acțiuni tipice ale vreunui malware cunoscut (ex. modificarea fișierelor critice, încercarea de a se ascunde sau de a comunica cu servere externe, etc.), acesta poate fi identificat ca o amenințare. - analiza heuristică: sunt analizate caracteristicile unui program pentru a identifica comportamente suspecte sau trăsături neobișnuite ale codului și a determina dacă respectivul program ar putea fi un malware, chiar dacă nu este înregistrată o semnătură specifică pentru el. - protecție în timp real: antivirusul monitorizează constant activitățile din sistem și blochează sau elimină amenințările imediat ce sunt detectate. Acest aspect este crucial pentru prevenirea infectării sistemului înainte de producerea unor daune semnificative. - actualizarea periodică a bazei de date: antivirușii necesită actualizări constante ale bazelor de date de semnături pentru a rămâne eficienți împotriva noilor amenințări. Actualizările includ informații despre noi tipuri de malware descoperite și semnături asociate acestora. - utilizarea tehnologiilor avansate: multe soluții antivirus folosesc tehnologii avansate, precum inteligența artificială și machine learning, pentru a îmbunătăți capacitatea de detectare și pentru a putea lupta eficient împotriva amenințărilor cibernetice tot mai complexe. Aceste tehnologii pot analiza modelele de comportament și pot identifica amenințările într-un mod mai adaptativ și eficient. - izolarea și eliminarea: când un antivirus detectează un malware, următorul pas este adesea izolarea acestuia și apoi eliminarea completă din sistem. Acțiunea poate implica punerea în carantină a fișierelor deja infectate sau eliminarea completă a acestora, împiedicând astfel răspândirea malware-ului și minimizând daunele. - alertarea utilizatorului: utilizatorii sunt informați cu privire la descoperirea și eliminarea amenințărilor prin intermediul alertelor și notificărilor. Aceste mesaje îi informează asupra măsurilor luate de antivirus și pot oferi, de asemenea, recomandări pentru acțiuni suplimentare. Marii actori din zona IT au înțeles importanța luptei împotriva atacurilor cibernetice și fac eforturi ample pentru a evita penetrarea cu rea-intenție a sistemelor pe care le pun la dispoziția utilizatorilor. Astfel, sistemele Sistemele de operare Windows oferă o soluție integrată, Windows Security (fig. 5a), de protecție împotriva virușilor și a altor forme de malware, iar experiența utilizator poate fi particularizată și îmbunătățită prin folosirea uneltelor auxiliare, precum controlul parental, care intră în același pachet. Google include o soluție de securitate cibernetică pentru browser-ul Chrome (fig. 5b), cu rol de protecție împotriva atacurilor venite dinspre Internet, precum site-uri nesecurizate sau malițioase, descărcări, extensii, etc. fig. 5a Windows Security Fig. 5b Soluție de securitate pentru Chrome Există numeroase alte programe antivirus disponibile pe piață, cu prețuri și eficacități diferite, unele dintre cele mai utilizate de către utilizatorii de calculatoare personale fiind: - Bitdefender Antivirus (fig. 6a): soluție recunoscută pentru tehnologia avansată de detectare și protecție împotriva amenințărilor cibernetice. Bitdefender Antivirus oferă o gamă variată de funcționalități, inclusiv analiza comportamentală și protecția împotriva ransomware-ului. - Norton Antivirus (fig. 6b): o soluție antivirus care oferă funcționalități extinse, inclusiv protecție împotriva amenințărilor online, firewall, verificarea actualizării aplicațiilor instalate și funcții de securitate suplimentare; Fig. 6a Bitdefender Antivirus Fig. 6b Norton Security - Avast Antivirus (fig. 7a): este un produs antivirus gratuit și popular, care oferă o gamă extinsă de funcționalități, inclusiv scanarea în timp real, actualizarea automată a bazei de semnături, protecție împotriva phishing-ului și un mod de funcționare pentru joc pentru a minimiza interferența cu jocurile video. - McAfee Antivirus (fig. 7b): o soluție care oferă protecție împotriva virușilor, malware-ului, phishing-ului și altor amenințări de securitate online. Fig. 7a Avast Antivirus Fig. 7b McAfee Antivirus Este important de reținut că alegerea unui program antivirus trebuie să se bazeze pe nevoile și preferințele individuale ale utilizatorului și, de asemenea, că, în ciuda oricăror eforturi, niciun antivirus nu poate oferi și nu poate garanta o protecție totală împotriva tuturor amenințărilor. Din acest motiv, păstrarea antivirusului în stare actualizată este esențială și trebuie însoțită și de alte practici de securitate cibernetică, cum ar fi actualizarea periodică a sistemului de operare și a aplicațiilor, utilizarea unui firewall și practici de navigare sigure.
