Spaţiul Cibernetic. Sistem Informatic şi de Comunicaţii PDF

SPAŢIUL CIBERNETIC. SISTEM INFORMATIC ȘI DE COMUNICAȚII Spaţiul cibernetic - mediul virtual, generat de infrastructurile cibernetice, incluzând conţinutul...

SPAŢIUL CIBERNETIC. SISTEM INFORMATIC ȘI DE COMUNICAȚII Spaţiul cibernetic - mediul virtual, generat de infrastructurile cibernetice, incluzând conţinutul informaţional procesat, stocat sau transmis, precum şi acţiunile derulate de utilizatori în acesta. COPLEXITATEA SPAȚIULUI CIBERNETIC Resursa Employees Angajați Hackers Outsourcers Outsoursing Aprovizionare umană Consultanti Teroriști Customers Clienți Date Structurate Structured Nestructurate Unstructured Statice Dinamice In motion Aplicații pt. Systems Aplicatii Aplicații web Web 3.0 2.0 Mobile Aplicatii Applications informatice dispozitive Applications mobile Infrastructură Datacenters PC Laptops Mobil Cloud Atipice CONCEPTE DE SECURITATE CIBERNETICĂ - Infrastructuri cibernetice - infrastructuri de tehnologia informației şi comunicații, constând în sisteme informatice, aplicații aferente, rețele şi servicii de comunicații electronice; - Securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea şi nonrepudierea informațiilor în format electronic, a resurselor şi serviciilor publice sau private, din spațiul cibernetic. - Apărare cibernetică - totalitatea activităților, mijloacelor și măsurilor utilizate pentru a contracara amenințările cibernetice și a atenua efectele acestora asupra sistemelor de comunicații și tehnologia informației, sistemelor de armament, rețelelor și sistemelor informatice, care susțin capabilitățile militare de apărare; CONCEPTE DE SECURITATE CIBERNETICĂ - atac cibernetic - acțiune ostilă desfășurată în spațiul cibernetic de natură să afecteze securitatea cibernetică; - audit de securitate cibernetică - activitate prin care se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul unor rețele și sisteme informatice, în vederea identificării disfuncționalităților și vulnerabilităților și furnizării unor soluții de remediere a acestora; - centru operațional de securitate - echipă de experți în securitate cibernetică, ce are rolul de a monitoriza, analiza și răspunde la incidentele de securitate cibernetică; COMPONENTELE DE SECURITATE ALE SIC vAdministrativă (organizare şi responsabilităţi) vProtecţia fizică vProtecţia personalului vProtecţia documentelor vINFOSEC vPlanificare în cazuri de urgenţă vManagementul configuraţiei AMENINȚĂRI CIBERNETICE Actori statali Securitate Atacuri ICS/ SCADA Națională (Stuxnet) Spionaj cibernetic, Competiție și Hacktivisti Gallmaker hacking Activism operation Avantaje materiale Crimă organizată Zeus Răzbunare, Insideri și Script-kiddies Curiozitate Code Red Ameninţări / Atacuri ATACATORI Hackers Ø pătrund în sisteme/infrastructuri informatice Ø scopuri diverse – tipuri de hackeri Ø cunoștințe/abilități tehnice avansate Ø utilizează metode/instrumente avansate sau inovative Ø etica White hats Gray hats Black hats Ø angajați de organizații Ø penetrarea / compromiterea unor sisteme/infrastructuri Ø penetrarea / compromiterea unor sisteme/infrastructuri informatice folosind metode inovative informatice folosind metode cunoscute sau inovative Ø pătrund în sisteme/infrastructuri informatice folosind metode cunoscute sau inovative Ø descoperirea de breșe de securitate Ø descoperirea de breșe de securitate / vulnerabilități Ø descoperirea de breșe de securitate Ø raportarea (sau NU) la deținători pentru recompense / Ø monetizarea descoperirilor / tehnicilor / instrumentelor faimă proprii Ø evaluarea capacității de reziliență la atacuri Ø publicarea după (sau NU) patch Ø acțiuni preponderent ilegale Ø îmbunătățirea unor infrastructuri Ø scopuri personale, financiare, politice, sociale Vulnerability brokers Pentesters, auditori, amatori Script kiddies, Hacktivists, Cyber-criminals ATACATORI Script kiddies Ø adolescenți Ø fără abilități/cunoștințe tehnice Ø tehnici disponibile online Amatori Ø pasionați Ø cunoștințe tehnice de bază Ø abilități limitate ATACATORI Vulnerability brokers Ø cunoștințe și abilități tehnice avansate Ø descoperirea unor bug-uri/breșe de securitate Ø raportarea către producători contra unor recompense (bug bounty programs) Pentesters / Auditori Ø cunoștințe și abilități tehnice avansate Ø metode și instrumente HW/SW verificate/certificate Ø certificări recunoscute Ø evaluarea/auditarea politicilor de securitate implementate Ø descoperirea unor breșe de securitate Ø raportarea către deținătorii infrastructurilor în baza unor contracte Ø condiții stricte de păstrare a confidențialității ATACATORI Cyber Criminals Ø freelanceri / parte dintr-o organizație Ø furt de date Organized Hackers Ø monetizarea tuturor descoperirilor Ø organizații de criminalitate cibernetică Ø piața neagră Ø hacktivists / terrorists / state-sponsored hackers Ø cripto-monede State sponsored hackers Hacktivists Ø White/black hat – depinde de perspectivă Ø atacatori profesioniști / amatori Ø Organizație independentă / parte a unui serviciu secret Ø acționează împotriva unor idei politice și sociale, companii, guverne, etnii, religii sau în susținerea altora Ø Compromiterea unor infrastructuri guvernamentale, organizații teroriste, corporații Ø articole/site-uri fake news, website defacement, video compilații, divulgare date confidențiale, DDoS (distributed denial of service ) Ø Obținerea de secrete de stat, secrete industriale/comerciale, alte informații confidențiale ATACATORI Atacatori interni (foști/actuali) angajați / parteneri / subcontractori manipularea iresponsabilă/greșită de date confidențiale pun în pericol funcționarea unor servicii / infrastructuri IT interne manipularea iresponsabilă de echipamente conexe (BYOD) infectarea cu malware prin accesarea unor resurse nesigure (website, email, fișiere transferate) risc ridicat cauzat de accesul direct la date/infrastructură Atacatori externi exploatează vulnerabilități ale resursei umane / infrastructurii tehnici certificate / ne-etice / ilegale inginerie socială independenți sau angajați (proprii sau competitori) DE CE AVEM NEVOIE DE O CULTURĂ DE SECURITATE CIBERNETICĂ? Atacuri cibernetice frecvente și sofisticate Ransomware, malware, atacuri de tip phishing Creșterea utilizării tehnologiei în viața de zi cu zi Cumpărături online, banking, social media Atacuri de inginerie socială Phishing, vishing, manipularea psihologică Conectarea tot mai multor dispozitive la internet (IoT) Electrocasnice, camere de securitate, mașini inteligente Creșterea volumului de date personale stocate online Date personale și financiare stocate în cloud Atacuri asupra infrastructurii critice Rețele de energie, apă, spitale, transport CUM NE PROTEJĂM PE DISPOZITIVELE PERSONALE? Ø Actualizări regulate de software și securitate ü Sistem de operare și aplicații Ø Utilizarea parolelor complexe și unice ü Manager de parole, schimbare periodică Ø Autentificare în doi pași (2FA) ü Pentru conturi critice (email, banking) Ø Atenție la emailuri și mesaje suspecte ü Evitarea deschiderii atașamentelor necunoscute Ø Instalarea aplicațiilor doar din surse oficiale ü Google Play, App Store – evitarea surselor nesigure Ø Antivirus și firewall activat ü Securizarea dispozitivelor împotriva malware-ului Ø Criptarea datelor și backup regulat ü Protejarea fișierelor sensibile și backup extern HUMAN FIREWALL - 3 tipuri de organizații v cele care au fost afectate de un atac cibernetic v cele care vor fi afectate v cele care nu știu că au fost atacate Ø Resursa umană –conștientizare (cyber awareness) ü Importanța datelor personale - https://youtu.be/BpdcVfq2dB8?list=PLugzSPQyYJhLvZWeEHX5OuDzv2YMWT5RX&t= 311 Ø Formular Ø Facebook Coffee Shop Like Ø Starbucks Free WiFi Ø Phishing – email scams Whaling Tipuri de atacuri 01 Phishing 04 Worms, Trojans and RAT 02 Scams (BEC, CEO scam) 05 Malware outbreak 03 Ransomware 06 Hacking and APT EXEMPLE EXEMPLE Activităţi de phishing ce vizează compromiterea credenţialelor de acces la e-mail sau la alte conturi ale utilizatorului. Ce observăm? Elementele comune Invocă măsuri coercitive! Foloseşte elemente vizuale! Întodeauna solicită o acţiune! Link sau ataşament conţinut în corpul email-ului! Observaţii Ø transmise în numele operatorului legitim, Ø folosesc elemente vizuale care duc cu gândul la site-ul original, Ø uneori au greşeli de scriere şi conţinut sărăcacios (nu toate link-urile din corpul email-ului funcţionează); Ø au un link în cadrul corpului e-mail-ului, uneori e-mail-ul este transmis în format html şi în locul link- ului apare un buton, care apăsat va redirecţiona utilizatorul pe o pagină web controlată de atacator; Ø Solicită o acţine imediată din partea utilizatorului, ameninţând cu adoptarea unei măsuri coercitive împotriva utilizatorului, în cazul în care acesta nu acţionează de îndată; Ø Uneori prezintă oferte de genul - prea bine ca să fie adevărat. Reţineţi Când analizăm un email: Ø băncile, platformele de comerţ electronic, nu solicită date personale sau credenţiale prin intermediul e-mail-ului, au alte metode de a comunica cu utilizatorul şi de a cere acestuia să-şi confirme identitatea; Ø orice activitate suspectă a unui cont duce la blocarea acestuia, utilizatorul putând să-l deblocheze numai după ce transmite copii ale actelor de identiate sau facturi prin care să-şi confirme identitatea; Ø email, prin care se solicită date personale, acţiunea de logare, date bancare = phishing. Atenţie: conturile create cu ajutorul unei căsuţe de e-mail pot fi compromise dacă contul de e-mail este compromis. Facebook phishing De asemenea, a luat amploare şi compromiterea conturilor utilizate pe platformele sociale. Ø O acţiune foarte nocivă pentru bunul mers al activităţii profesionale este compromiterea contului de e-mail al unui angajat, deoarce aceasta poate avea ca și consecință pierderi financiare semnificative, Phishing-ul compromiterea unor parteneri de afaceri şi folosirea contului de e-mail în scopuri maliţioase (iniţierea ţinteşte conturile unor alte atacuri de tip phishing sau transmiterea de malware către persoanele din lista de contacte); business de e-amil Ø Foarte targhetate sunt conturile de e-mail integrate cu MO365 şi Google Business; Utilizatorul primeşte un e-mail, aparent din partea unui coleg sau din partea unui partener de afaceri, prin care i se comunică că a primit acces la un document, dar link-ul integrat în e-mail va conduce utilizatorul pe o pagină aflată în controlul atacatorului; Ø Pe aceasta pagină se va solicita user-ul şi parola de la contul de MO365 sau Google sub pretextul accesului la acel document. Accesarea link-ului din poză va redirecţiona utilizatorul către o pagină falsă de logare în MO365 sau Google. Consecinţe? Fără măsuri de protecţie suplimenatre, contul de e-mail va fi accesibil atacatorului. Acesta va avea acces la setarile contului şi de cele mai multe ori adaugă o regulă de forwardare a e-mail-urilor către o adresă controlată de el. Consecinţe ale compromiterii contului de e-mail folosit în activitatea de business? Ø Pierderea de date; Ø Pierderea de bani; Ø Compromiterea altor utilizatori sau sisteme; Ø Compromiterea partenerilor de afaceri; 201 Ø Pierderi de imagine; Ø Îngreunarea activităţii, procese, uneori faliment; Ø Amendă! Obţinerea de date cu caracter personal (nume, adresă, număr de telefon, date de identificare personală - CNP, serie buletin sau copii ale actelor de identiate, etc); Ø În anumite situaţii atacatorul doreşte să obţină datele personale ale utilizatorului, deoarece acest date pot fi folosite în operaţionalizarea de conturi, chiar şi bancare, în falsificarea de documente, în alte activităţi de criminalitate informatică de tip auction scams; Ø Cel care intră în posesia datelor dumneavoastră, deschide un cont pe un site de comerţ electronic, confirmă acel cont cu ajutorul datelor utilizatorului şi apoi foloseşte contul respectiv pentru a induce în eroare cumpărători de bună credinţă; Ø De asemenea, falsificarea unui act de identitate este o operaţiune facilă, aceste acte fiind folosite la deschiderea de conturi bancare sau firme, care ulterior sunt folosite în alte activităţi de criminaliate informatică. Cea mai buna măsură de protecţie este să nu furnizaţi datele dumneavoastră ca urmare a unor solicitări venite prin e-mail, sau ca urmare a identificării în mediul online a unor oferte de muncă (home work). Atenţie la ofertele de muncă identificate în mediul online care presupun ca dumneavoastră să derulaţi activităţi de tip "ofiţer financiar", "agent financiar" sau alte denumiri, care implică primirea de transferuri în conturile dumneavoastră bancare şi ulterior retrimiterea fondurilor către alţi destinatari prin servicii finaciare de transfer rapid gen WesternUnion sau MoneyGram. Ø atacatorul se va folosi fie de numele unor autorităţi financiare sau fiscale cu care utilizatorul are o anume relaţie, acesta fiind şi elementul care ar trebui să ridice suspiciuni cu privire la legitimitatea unui astfel de e-mail; Ø atacatorul va copia pagini web sau elemente vizuale ale deţinătorului de drept; folosite de site-ul oficial. 201 Ce observăm? Pagini false ce imită paginile băncilor. 201 Ce observăm? Reţineţi: Ø Entităţile bancare nu solicită datele aferente cardurilor de credit prin e-mail sau telefonic şi nici nu cerutilizatorului să le completeze online; Ø Entităţile bancare nu transmit e-mail-uri prin care să solicite autentificarea în contul de online Banking; Ø Verificaţi cu atenţie link-urile prin intermediul cărora sunteţi redirecţionaţi către pagini unde se solicită datele bancare - verificaţi URL-ul. 201 Orice e-mail care solicită astfel de date poate fi catalogat ca fiind phishing. Ø Un element important, pe care atacatorul nu-l poate ascunde este adresa URL a paginii web folosite pentru a colecta datele care fac obiectul acţiunii de phishing. Aceste adrese URL pot fi verificate sau scanate pentru a vedea dacă sunt maliţioase. BEC SCAM CEO SCAM Victima este targhetată cu un e-mail de tip phishing, de In acest tip de fraudă, atcatorul reuşeşte să mapeze organigrama regulă foarte bine realizat. Dacă utilizatorul furnizează instituţiei şi să determine care sunt relaţiile de subordonare, să idetifce care sunt persoanele care sunt responsabile cu gestionarea datele contului, user şi parolă şi contul de e-mail cu este resurselor financiare şi va căuta să-l impersoneze pe managerul protejat prin 2FA, atacatorul accesează setările contului şi acestora. adaugă un forward (toate e-mail-urile care vor veni vor fi În majoritatea cazurilor aceşti angajaţi vor primi un e-mail, automat forwardate către această adresa de e-mail), după apararent de la acest manager, prin care li se va solicita să care datele contului vor fi folosite de atacator pentru a efectueze un transfer, dintr-o nevoie urgentă, aparută în mod asculta pasiv corespondenţa pentru a identifica momentul în neaşteptat. care se transmit înştinţări de plată sau facturi, sau pentru a ØÎntodeauna atacatorul va invoca nevoia urgentă de realizare a Tipuri de phishing care transferului, va impersona adresa de e-mail a managerului (de vedea care sunt relaţiile între membrii organizaţiei. În momentul în care atacatorul observă că utilizatorul este exemplu, dacă managerul foloseşte [email protected], angajatul fie ţintesc conducerea primeşte un e-mail de la [email protected], dar în momentul în care va implicat în derularea unei tranzacţii, atacatorul va identifica apăsa butonul de replay, la destinatar se va completa o adresă de organizaţiei persoana care ar trebui să facă livrarea banilor şi îi e-mail diferită de [email protected] sau angajatul va primi e-mail de transmite un e-mail spoof, identic cu cel în care se transmite la adrese similare cu [email protected] ca de pildă [email protected], factura, dar cu datele aferente contului bancar în care ar [email protected], etc, varietatea de simulare a unei adrese de trebuie să fie recepţionată plata modificate. e-mail fiind limitată doar de imaginaţia atacatorului; Ø vor fi invocate motive de confidenţialitate, de exemplu presupusul manager îi va solicita angajatului să nu comunice cu nimeni despre aceasta până cănd afacerea nu va fi perfectată, uneori ameninţând cu măsuri dacă aceste detalii sunt divulgate şi afacerea este întreruptă; Ø va căuta să exploateze dorinţa angajatului de a se face util şi relaţia de subordonare existentă; Ø se identifcă rapid prin faptul că în 100% din cazuri se solicită un transfer rapid într-un cont care până la momentul respectiv nu a fost folosit în circuitul financiar. Răspândirea de programe Office maliţioase prin intermediul ataşamentelor de e-mail exe Extenisa fişerelor cunoscute. Cele mai utilizate în distribuirea de malware:.doc,.rtf,.exe,.rar,.jar,.js,.scr,.pdf,.hta,.iqy; java Care sunt ataşamentele uzuale pe care le primim pe e-mail? Care sunt cele neuzuale? jpeg Răspândirea de programe maliţioase prin intermediul Office ataşamentelor de e-mail exe Înainte de a începe trebuie să ştim că întodeauna este bine să avem setat în Windows ca acesta să afişeze extenisa fişerelor cunoscute. Cele mai utilizate în distribuirea de malware:.doc,.rtf,.exe,.rar,.jar,.js,.scr,.pdf,.hta,.iqy; java Care sunt ataşamentele uzuale pe care le primim pe e-mail? Care sunt cele neuzuale? jpeg Reţineţi: Ø În general atacatorul transmite un ataşament de tip doc, xls, rtf cu VBA object, Ø PDF maițios sau care conține un link; Ø RAR parolat în care atacatorul furnizează parola; Ø.js,.hta, etc Ø De exemplu, un botnet (NIVDORT) a reuşit să infecteze peste 100.000 de calculatoare în România tocmai prin utilizarea unor campanii de tip phishing prin care încercau să exploateze dorinţa de câştig facil: - ai câştigat o vacanţă cu familia în Poiana Braşov; 201 - ai câştigat un voucher de cumpăraturi în valoare de 500 de Euro de la MediaGalaxy; De regulă, în ataşament se regăsea o arhivă ce pretindea că conţine un formular de solicitare a premiului, dar care conţinea un executabil maliţios, care instalat oferea atacatorului acces total la resursele sistemului. Nu deschidem atașamentele supecte! NU DESCHIDEM ATAŞAMENTE DE TIP:.js,.jar,.exe conţinut în arhivă rar,.scr,.bat,.exe decât in mediul in care se face analiza! Ø De regulă, atacatorul va folosi e-mail-uri prin care înştinţează utilizatorul cu privire la fapul că: - Your invoice no.23343224; - Your payment has been processed; - Your package....; - Your fax...; - Your document... Ø Întodeauna atacatorul va încerca să gasească un element care să determine o acţiune a utilizatorului: - o plată procesată din contul utilizatorului, fără ştirea acestuia; - o factură prea mare de la un operator de servicii cu care utilizatorul este sub contract; - un colet neaşteptat; - o promoţie, chiar dacă utilizatorul nu s-a înscris. 201 Ø Uneori acest tip de campanie reuşeşte să îmbine vulnerabilităţi ale MO pentru a infecta un sitem; Ø De asemenea, acest tip de atac este foarte utilizatat în răspândirea de botneţi, ransomware şi criptomineri, datorită ratei de succes foarte crescute; Rasomware-ul și botnet de tip bancar au ca principal vector de infecţie e-mailuri maliţioase ce au în Ataşament documente MO sau PDF maliţioase! ATENŢIE! Ø Chiar dacă fişierul prezentat ca factură este un document word (cu extensia.doc,.docx,.xls, ppt,.pptx), atacatorul ne poate compromite prin exploatarea unor vulnerabilităţi tehnice ale MO sau prin exploatarea unor funcţionalităţi tehnice ale aplicaţiilor din suita Microsoft Office - macro. ØAceste aplicaţii permit inserarea unor funcţii care au capacitatea de a se executa atunci când utilizatorul accesează documentul. Ø În general, exploatarea acestor funcţionalităţi se declaşează prin activarea Macros din Word. Această funcţionalitate este dezactivată by-default, dar un document care are un obiect VBA vă va solicita să activaţi această funcţionalitate pentru a vedea conţinutul. Ø Activată această funcţie, codul conţinut în obiect VBA va rula şi va descărca în calculator executabilul maliţios. 201 Dezactivaţi macros pe host-uri! Care sunt persoanele vizate de atacurile de tip phishing? Ø Managementul organizatiei - acces la nivel strategic, influenţă în cadrul organizaţiei; Ø HR - deţine date despre angajaţi, dispuşi întodeauna sa ajute; Concluzii Ø Financiar - lucrează cu bani, procesează plăţi; Ø IT - acces la sisteme informatice; Ø Fiecare angajat. Phishing-ul este folosit în majoritatea atacurilor cibernetice, peste 90% din numărul total de host-uri compromise la nivel mondial se datorează acestui tip de atac. Ce tipuri de atacuri de tip phishing pot ţinti organizaţia noastră? Care sunt elementele care caracterizeză un email maliţios? Cum reacţionăm proactiv? Cum investigăm – sender IP și domeniu, link-uri, atașament - runbook? Lessons learned = user awareneass; Investigare phishing Pregătire: Definirea procesului de raportare, de exemplu toţi angajaţii ar trebui să ştie cum şi unde se raportează e-mail-urile suspicioase. De aceea, trebuie construită o infractructură de raportare, de exemplu o casuţă de e-mail folosită de echipa de infosec pentru a primi e-mail-urile suspicioase raportate de personal. Scanare de vulnerabilităţi, risk assesment şi patching. Identificare: Investigarea Echipa de infosec trebuie să fie aptă să catalogheze e-mail-urile raportate în, phishing, spam, legitim, categoriile putând atacurilor de tip fi extinse în funcţie de ceea ce se doreşte. Identificare se face prin: phishing - verificare header; - verificare link-uri; - verificare ataşamente. În funcţie de ceea ce se identifică, echipa de infosec trebuie să transimtă un feedback celui care a raportat şi în caz de infecţie să pornească procesul de eradicare! Izolare atac: În funcţie de ceea ce se identifcă se dispun măsuri de blocare a elementelor malițioase (IOC- indicator of compromise) la nivel de reţea şi a server-ului de e-mail. Eradicare: Dacă sunt utilizatori compromişi trebuie să ne asiguram că acestora li s-au resetat credenţialele. Dacă sunt sisteme compromise, trebuie să ne asiguram că acestea sunt curaţate şi repuse în funcţiune. Recuperare: Monitorizăm reţeaua pentru a vedea dacă mai avem activitate suspectă pe conturile sau mașinile compromise. Lecţii învaţate: În funcţie de atacurile pe care le avem, dispunem informarea utilizatorilor, modificăm proceduri de lucru sau dispunem reconfigurarea de siteme sau patching. CUM FACEM ? - PROCEDURI DE RĂSPUNS LA INCIDENTE DE SECURIATE CIBERNETICĂ, - TESTARE, INSTRUIRE Cum verificăm un link sau un ataşament! 01 Veificăm header-ul de email si link-urile din e- mail; Dacă se descarcă ataşamentul? 02 Ce se descarcă? Se face analiză malware; Dacă s-a dat click pe ataşament? 03 Cine? Ce? Când? Ce loguri avem și de unde? S-au completat credențiale sau parole, etc? 04 Next steps: Containment and eradication? MALWARE Amenințări cibernetice moderne Ransomware Trojans Banking trojans IoT Botnet RAT Rootkits Adware Cripto-mineri. - soft antivirus pe endpoint şi dacă este posibil o soluţie de tip EDR (endpoint detection and response) instalată; - softuri updatate la zi, mai ales cele din suita Adobe Flash, Windows, Microsoft Office şi browser (exemplul: exploit kit); Cum ne aparăm de - control la ce se instalează pe host-uri, nu instalăm soft-uri din surse nesigure; malware: - politici la nivel de reţea, ce intră şi ce iese din reţea, segregarea reţelei; - drepturi limitate pentru utilizatori şi control al nivelului de acces, implemenatrea de politici de securitate; - politici de securitate la nivelul browser-ului, ad blocker instalat, dacă este posibil dezactivarea JavaScript; - vulnerability management program pentru identificarea şi remedierea vulnerabilităţilor tehnice; - instruirea utilizatorilor (pe ce dăm click!); - control al porturilor fizice, să sţim cine ce introduce în reţea; - implemenatrea unei politici stricte de utilizare a dispozitivelor USB, blocare porturi USB, scanare AV pentru device-urile ce urmează a fi introduse, politică pentru accepted device; - evitarea site-urilor de tip filme online sau tv-online, mai ales dacă acestea ne solicită - instalarea de software pentru a avea acces la conţinut; - să existe un back-up al datelor importante; - măsuri de protecţie şi control la nivel de reţea (proxy, firewall, IPS); - răspuns rapid la incidente de securitate cibernetică. CINE? – MANAGEMENTUL ORGANIZAȚIEI PRIN DEFINIREA DE STRATEGII ŞI POLITICI DE SECURITATE Mobile security tips: Ø utilizare blocare ecran, laptop, telefon; Ø utilizare parola puternică; Ø utilizează reţele WiFi de încredere, dacă este posibilă utilizarea unui VPN Exemplu de atac MITM: 201 #Trivia: Online Safety You post a picture of you and your best friend to your favorite social media platform. She doesn’t feel comfortable with the image, so you agree to take it down. Will this ensure that no one else sees the picture? Answer: No. Once an image (or any information) is posted on the internet, it is virtually impossible to remove it from circulation. Taking it off of your social media page will help, but there is no guarantee that others have not already seen it and/or downloaded it to their own machines. 49 #Trivia: Online Safety You receive an email from an online shopping site claiming that you were incorrectly charged for your last purchase and are due a refund. The email asks you to click a link where you will submit the necessary information. What should you do? Answer: Do NOT click the link! Check the sender’s address and search the document for spelling/grammar mistakes. If you notice anything suspicious, the email is likely a scam. Even if it seems legitimate, navigate to the site yourself rather than clicking any links. 50 #Trivia: Online Safety You’ve just settled into your new hotel room when you realize you need to transfer some funds from your savings account to your checking account. In order to do this, you will need to connect your laptop to the hotel’s public Wi-Fi and log in to your online bank. Should you risk it? Answer: It depends. In general, it is never safe to transmit PII (Personally Identifiable Information), especially financial information, over a public network. If you find yourself in a situation where you may need to do so, first consider all your options, including using your mobile data or a VPN (Virtual Private Network) to help protect your browsing. 51 #Trivia: Online Safety You have a long commute. Thankfully, your train just installed public Wi-Fi. Now you can listen to your favorite music or podcast. However, when you check for social media updates around lunch, you find that your account has been hacked. What steps could you take to prevent your mobile device or laptop data from being compromised in the future? Answer(s): Turn off Wi-Fi and Bluetooth when not using them. These technologies leave you open to remote attacks. Make sure the network is legitimate. Hackers love to create fake networks that mimic real ones, enticing unsuspecting users to log on. Don’t connect. Though perhaps drastic, one near-certain way to circumvent the dangers of public Wi-Fi is simply to avoid using it whenever possible. 52 #Trivia: Online Safety Passwords often have complex requirements, and most online citizens will need to remember numerous different passwords to access their internet services. What is a way to help you keep track of all these different passwords? Answer(s): Use a password manager. These are apps, devices, or cloud services that store your passwords in an encrypted vault that can only be unlocked with a single master password. Use a “password pattern.” This is simply a pattern (recognizable only to you) that you can use to help remember your passwords. 53 #Trivia: Device Security Which of the following are strong password practices? (Choose all that apply.) 1. Passwords should contain a mixture of upper and lower case letters, numbers, and special characters. 2. Passwords should have personal meaning to you (e.g. a relative’s birthday) so that you can remember them more easily. 3. You should immediately change your password in the case of a known data breach. 4. You should store your passwords on paper or in a text document, giving you a backup in the event that you forget them. Answer: 1 & 3. While it is helpful for passwords to have some level of personal relevance, anything concrete or publicly-available (high schools, birthdates, pets’ names, etc.) can be easily researched and guessed by an attacker. Storing your passwords physically or in a text-document is also ill- advised, as someone could gain access to the copy. 54 RISCURI, AMENINŢĂRI ŞI VULNERABILITĂŢI v Ameninţare: pericol potențial de compromitere accidentală sau deliberată a securității unui SIC prin pierderea confidențialității, a integrității sau disponibilității informațiilor şi serviciilor. v Vulnerabilitate: o slăbiciune sau lipsă de control de natură tehnică, procedurală sau operaţională, care ar putea fi speculată în scopuri ilicite. v Risc: posibilitatea pierderii sau dezvăluirii informaţiilor unor persoane neautorizate, modificării neautorizate şi/sau distrugerii într-un mod neautorizat al acestora 55 EXEMPLU - RISC Risc de impact, financiar sau reputațional, ca urmare a unei infecții cu ransomware cauzată de lipsa unui produs antivirus/ EDR instalat la nivelul SIC. IMPACTUL ATACURILOR CIBERNETICE ASUPRA ORGANIZAȚIILOR ȘI PERSOANELOR Pierderea financiară semnificativă Costuri de recuperare, amenzi, pierderi de afaceri Compromiterea datelor personale și confidențiale Furt de identitate, scurgeri de informații sensibile Afectarea reputației Pierderea încrederii clienților, partenerilor Întreruperea operațiunilor Imposibilitatea desfășurării activității zilnice Posibile litigii și sancțiuni legale Consecințe juridice și reglementări stricte Impact psihologic asupra victimelor Stres, nesiguranță, pierderea încrederii în tehnologie Concepte de securitate cibernetică Securitate cibernetică à starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive prin care se asigură CONFIDENȚIALITATEA INTEGRITATEA AUTENTICITATEA DISPONIBILITATEA NONREPUDIEREA informațiilor în format electronic, a resurselor şi serviciilor publice sau private, din spațiul cibernetic. Ex: email encryption, checksums, spam email, anti DDoS, signed email Caracteristicile confruntării din spaţiul virtual dificultatea precizării adversarilor absența unor frontiere de natură geografică şi/sau temporale multitudinea de ținte caracterul continuu al acțiunilor lipsa unor indicatori clari de avertizare lipsa unor metode rapide de remediere a consecințelor pe care le generează Caracteristicile confruntării din spaţiul virtual utilizarea unei tehnologii relativ simple, ieftine şi larg răspândite dificultatea stabilirii unor responsabilități clare şi precise privind managementul domeniului costurile relativ scăzute ale derulării operațiilor informaționale în raport cu rezultatele ce se pot obține posibilitățile sporite de manipulare. Principii de securitate cibernetică Infrastructură Oameni si proceduri managementul configurațiilor infrastructurii cibernetice managementul drepturilor de acces mentenanța infrastructurii cibernetice managementul identificării și autentificării asigurarea disponibilității infrastructurii cibernetice utilizatorilor conștientizarea și instruirea utilizatorilor asigurarea protecției fizice a infrastructurii cibernetice jurnalizarea și asigurarea trasabilității activităților în cadrul infrastructurii cibernetice managementul suporturilor de memorie externă Principii de securitate cibernetică Politici testarea și evaluarea securității cibernetice răspunsul la incidente de securitate cibernetică realizarea planurilor de securitate asigurarea securității personalului analizarea și evaluarea riscurilor de securitate cibernetică managementul vulnerabilităților și alertelor de securitate cibernetică INFOSEC - Securitatea Sistemelor Informatice - protecţia sistemelor informatice împotriva Ø accesului neautorizat Ø modificării informaţiei - stocată, procesată sau în tranzit Ø refuzului de servicii către utilizatorii autorizaţi Ø asigurării de servicii către utilizatorii neautorizaţi - include metode necesare pentru Ø detectarea Ø documentarea Ø respingerea acestor ameninţări SECURITATEA INFORMATICĂ presupune: - Confidențialitate – protecție împotriva dezvăluirii informației - Integritate – protecție împotriva modificării neautorizate - Disponibilitate – protecție împotriva atacurilor pentru indisponibilizarea serviciilor - Autenticitate – identificarea/autentificarea părților/tranzacțiilor într-un proces de comunicație - Non-repudiere – pățile implicate într-o tranzacție nu-și pot nega participarea Protecția datelor personale v Datele personale Ø Informații care identifică direct sau indirect o persoană, cum ar fi numele, adresa, datele de naștere, CNP-ul, adresa IP, informații financiare etc. v Categorii speciale de date personale Ø Informații sensibile precum datele despre sănătate, orientarea politică, religia, orientarea sexuală, etc., care necesită un nivel mai ridicat de protecție. v Riscuri asociate cu pierderea sau compromiterea datelor: Ø Acces neautorizat, furt de identitate, fraude financiare, atacuri cibernetice. v Confidențialitate și drepturile persoanelor vizate: Ø Dreptul de a fi uitat, dreptul de acces, rectificare și portabilitate a datelor conform legislației, precum GDPR în Europa. Măsuri de protecție a datelor personale ü Criptarea datelor: protejarea datelor prin criptare în tranzit și la stocare. ü MFA: măsuri de securitate suplimentare pentru accesul la date (parole, coduri de verificare prin SMS, autentificare biometrică). ü Politici de parole: crearea și să gestionarea de parole sigure, evitarea reutilizării parolelor și utilizarea managerilor de parole. ü Actualizarea software-ului: menținea software-ul la zi pentru a reduce vulnerabilitățile. ü Controlul accesului: politici de acces bazate pe roluri și restricționarea accesului la date doar pentru utilizatorii autorizați. Interceptare Atac pasiv CONFIDENȚILITATEA Modificare Atac activ AUTENTICITATEA Retransmisie sau Întrerupere Atac activ INTEGRITATEA AUTENTICITATEA DISPONIBILITATEA Criptografia - Definită ca fiind studiul tehnicilor matematice referitoare la aspecte de securitatea informaţiei precum confidenţialitate, integritate, autentificarea entităţilor, autentificarea provenienţei datelor - soluție pentru o parte importantă a atacurilor asupra obiectivelor de securitate - Criptografia poate fi una din puținele garanţii demonstrabile pentru a avea informație sigură Criptografia CONFIDENȚIALITATE – asigurarea faptului că informaţia rămâne accesibilă doar părţilor autorizate în acest sens - metode – scheme de criptare / decriptare INTEGRITATE - asigurarea faptului că informaţia nu a fost alterată pe parcursul transmisiei de către un posibil adversar - metode - scheme hash AUTENTICITATE - autentificarea entităţilor (existenta unei garantii privind identitatea unei entitati) - autentificarea informaţiei (determinarea sursei de provenienţă a informaţiei) - metode - protocoale de autentificare bazate pe funcţii hash, MAC, criptări simetrice şi asimetrice, semnături digitale CONFIDENȚIALITATE - Criptare Construcţia funcţiilor criptografice: - Funcția de criptare: Ekey (M) = C M = mesaj în clar C = mesaj criptat - Funcția de decriptare (funcția inversă funcției E): Dkey (C) = M - Ideea principală - funcția E nu poate fi inversată, fără a cunoaște key (protecția/nivelul de securitate “stă” în cheie) CONFIDENȚIALITATE - Criptare Construcţia funcţiilor criptografice: - ideea principală - funcția E nu poate fi inversată, fără a cunoaște key - protecția/nivelul de securitate depinde de - cheie - algoritm - complexitatea cheii influențează în mod direct securitatea mesajului - nivelul de securitate - efortul necesar spargerii unei functii criptografice - cerințele sunt stipulate în STANDARDE CONFIDENȚIALITATE - Criptare Scheme de criptare - Criptare simetrică - aceeași cheie este folosită pentru ambele operațiuni (criptare și decriptare) - procesare mai rapidă/simplă - provocare – stabilirea cheii - 3DES, AES, Blowfish CONFIDENȚIALITATE - Criptare Scheme de criptare - Criptare asimetrică - este generată și utilizată o pereche de chei INTERDEPENDENTE - criptare – cheie publică - decriptare – cheie privată - procesare mai complexă - provocare – încrederea în chei - RSA, Diffie-Hellman, algoritmi bazaţi pe curbe eliptice (ECC) CONFIDENȚIALITATE - Criptare Aplicații ale criptării VPN (Virtual Private Network) - IPsec VPN (IP security) - SSL/TLS VPN (Secure Socket Layer / Trasport Layer Security) SITE-TO-SITE REMOTE ACCESS CONFIDENȚIALITATE - Criptare Aplicații ale criptării CONFIDENȚIALITATE - Criptare Aplicații ale criptării - stabilirea de sesiuni securizate între aplicații - web browser à server WEB CONFIDENȚIALITATE - Criptare Aplicații ale criptării asimetrice - PGP (Pretty Good Privacy) – soluție de criptare folosită pentru stocarea datelor, a partițiilor/discurilor, securizarea mail-urilor AUTENTICITATE - Hash Scheme hash - NU constituie sisteme de criptare - NU au cheie de criptare/decriptare - Rolul este de a crea un rezumat (digest) a unui mesaj sau document electronic - MD5, SHA AUTENTICITATE - Hash Scheme hash - ONE WAY – nu se poate deduce inputul folosind digest-ul - Collision resistant – nu pot fi identificate 2 input-uri care să producă același digest - Stocarea parolelor - Integritatea mesajelor AUTENTICITATE - Hash Scheme hash - utilitate - Stocarea parolelor - Integritatea mesajelor AUTENTICITATE – Semnături digitale Semnături digitale - Obiective de securitate - autenticitatea datelor - integritatea datelor - autenticitatea originii datelor AUTENTICITATE – Semnături digitale Semnături digitale AUTENTICITATE – Semnături digitale Certificate digitale - Utilizator – cheie privată - Autoritate de certificare (CA) - Certificat digital - Listă de revocare AUTENTICITATE – Semnături digitale Certificate digitale 1) Generare cheie privată + cheie publică 2) Cerere de semnare a certificatului 3) Generare și semnare certificat 4) Utilizare certificat pentru autentificare AUTENTICITATE – Semnături digitale Certificate digitale AUTENTICITATE – Semnături digitale Semnături electronice vs Semnături digitale Securitate în cloud și protecția datelor online Cloud Computing: Servicii de stocare, calcul și gestionare oferite prin internet. Tipuri de servicii: IaaS: Infrastructură ca serviciu (ex. AWS, Microsoft Azure). PaaS: Platformă ca serviciu (ex. Google App Engine). SaaS: Software ca serviciu (ex. Dropbox, Office 365). Avantajele: Scalabilitate, accesibilitate, costuri mai mici, mentenanță simplificată. Securitatea datelor: Responsabilitate partajată între client și furnizorul de servicii. Accesibilitatea globală a datelor necesită măsuri de protecție sporite. Securitate în cloud și protecția datelor online Tipuri de atacuri cibernetice: Ø Phishing: Atacatorii păcălesc utilizatorii să ofere date sensibile. Ø Ransomware: Datele sunt criptate și se cere o răscumpărare pentru deblocare. Ø DDoS (Distributed Denial of Service): Atacuri menite să paralizeze serverele cloud prin supraîncărcare. Riscurile de scurgeri de date: Ø Configurări incorecte ale serviciilor cloud. Ø Acces neautorizat din cauza setărilor slabe de securitate. Consecințele non-conformității: ü Încălcarea regulamentelor precum GDPR, care pot duce la amenzi mari. ü Pierderea încrederii din partea clienților și a reputației companiei. Securitate în cloud și protecția datelor online Autentificare și Controlul Accesului: MFA: prevenirea accesului neautorizat. Roluri și permisiuni: acces în funcție de responsabilitățile utilizatorului. Criptarea Datelor: Criptarea în tranzit și la repaus: protecția datele pe parcursul transmiterii și în stocare. Gestionarea securizată a cheilor de criptare. Monitorizare și Auditare: Monitorizarea traficului și activităților pentru detectarea anomaliilor. Auditare periodică a accesului și configurărilor pentru detectarea vulnerabilităților. Backup: Efectuarea periodică de copii de rezervă pentru a proteja datele împotriva pierderilor cauzate de atacuri, erori umane sau defecțiuni. Planuri de recuperare în caz de dezastru: Definirea unui plan de recuperare (Disaster Recovery Plan) care să permită readucerea datelor și serviciilor în starea lor inițială după un incident Modelul OSI. IP-uri, DNS. Cum funcționează rețelele OSI (Open Systems Interconnection) o Modelul OSI este o structură care descrie cum comunică dispozitivele într-o rețea. Este împărțit în 7 niveluri, fiecare având o funcție specifică: q Fizic: se transmit efectiv semnale electrice sau radio, prin cabluri sau unde. q Legătură de Date: transferul datelor între două dispozitive conectate direct, folosind adrese MAC (fiecare dispozitiv are o adresă MAC unică). q Rețea: responsabil pentru rutarea pachetelor de date prin rețea, de exemplu prin intermediul adreselor IP. q Transport: toate datele ajung la destinație complet și fără erori (ex: TCP și UDP). q Sesiune: gestionează deschiderea, întreținerea și închiderea sesiunilor de comunicare între aplicații. q Prezentare: traduce datele între formatul pe care îl înțelege rețeaua și formatul în care aplicațiile le pot folosi. q Aplicație: stratul pe care utilizatorii îl văd, cum ar fi navigarea pe internet (ex: HTTP), trimiterea de e- mailuri (ex: SMTP). OSI IP (Internet Protocol). DNS (Domain Name System ) O adresă IP (Internet Protocol) este un identificator unic atribuit fiecărui dispozitiv conectat la o rețea. Dispozitivele folosesc adrese IP pentru a comunica între ele pe internet sau într-o rețea locală. ü IPv4: Este versiunea originală a protocolului IP, care folosește adrese pe 32 de biți (exemplu: 192.168.0.1). Cu toate acestea, spațiul de adrese IPv4 se epuizează rapid, din cauza numărului tot mai mare de dispozitive conectate la internet. ü IPv6: Este versiunea mai nouă a IP-ului, care folosește adrese pe 128 de biți (exemplu: 2001:0db8:85a3::8a2e:0370:7334), oferind un număr aproape nelimitat de adrese. ü DNS - sistem care transformă numele de domenii citibile de oameni (de ex. www.google.com) în adrese IP (de ex. 142.250.74.14) pe care le înțeleg computerele. Fără DNS, ar trebui să introducem adrese IP în loc de nume de site-uri, ceea ce ar fi complicat și ineficient. IP (Internet Protocol). DNS (Domain Name System ) Ø IP-uri publice - adrese unice și accesibile pe internet. Sunt atribuite de un ISP (Internet Service Provider) și permit dispozitivelor să comunice cu alte dispozitive din afara rețelei locale. Ø Utilizare: servere, routere de la furnizorii de internet, site-uri web (ex: 142.250.74.14 - Google). Ø Fiecare IP public este unic în lume. Ø Exemplu: un server web poate avea o adresă IP publică, astfel încât să fie accesibil oricui de pe internet. Ø IP-uri private - folosite în rețele locale (LAN) și nu sunt accesibile direct din internet. Acestea sunt rezervate pentru rețele interne. Ø Utilizare: calculatoare personale, imprimante, routere de acasă. Ø Aceleași adrese private pot fi folosite în rețele diferite, dar nu pot comunica direct cu internetul fără o traducere (NAT - Network Address Translation). Ø Exemple de intervale IP private (IPv4): Ø A - 10.0.0.0 – 10.255.255.255 Ø B - 172.16.0.0 – 172.31.255.255 Ø C - 192.168.0.0 – 192.168.255.255 Sisteme de monitorizare și filtrare a traficului ü Monitorizarea rețelelor - presupune supravegherea traficului de date pentru a detecta probleme, îmbunătăți performanța sau identifica activități neobișnuite. Ø Instrumente: ü SNMP (Simple Network Management Protocol): protocol folosit pentru a monitoriza și gestiona dispozitivele de rețea. ü NetFlow: sistem care colectează informații detaliate despre fluxul de date care trece printr-o rețea. Această tehnologie ajută la analiza traficului și la detectarea problemelor de securitate. ü Filtrarea traficului - reprezintă controlul datelor care intră și ies dintr-o rețea pentru a proteja rețeaua împotriva accesului neautorizat. Ø Se realizează cu ajutorul: ü Firewall-uri: dispozitive sau aplicații care monitorizează și controlează traficul în funcție de reguli predefinite. ü ACL (Access Control List): set de reguli care controlează ce fel de trafic este permis sau interzis într-o rețea. Sisteme de monitorizare și filtrare a traficului Sisteme de monitorizare și filtrare a traficului Protecția datelor și infrastructurilor § Firewall: Un dispozitiv sau software de securitate care monitorizează și controlează traficul de rețea, permițând sau blocând accesul pe baza unui set de reguli prestabilite. Funcționează ca o barieră între rețelele de încredere și cele nesigure. § IDS (Intrusion Detection System): Sistem de detectare a intruziunilor care monitorizează activitatea într-o rețea sau sistem pentru a identifica și alerta asupra posibilelor activități malițioase sau breșe de securitate. § IPS (Intrusion Prevention System): Sistem de prevenire a intruziunilor, similar cu IDS, dar cu capacitatea de a bloca sau opri activitățile malițioase în timp real, înainte ca acestea să cauzeze daune. § Web/Email Security Appliance: Dispozitiv de securitate dedicat care protejează traficul de internet și e-mail al unei organizații împotriva amenințărilor, precum phishing, malware și spam, filtrând și analizând datele pentru a preveni atacurile cibernetice. § Sandbox: Mediu virtual izolat în care aplicațiile sau fișierele pot fi executate și testate în siguranță, fără riscul de a afecta sistemul principal, folosit adesea pentru a analiza comportamentul programelor suspecte. § Honeypot: Sistem de securitate conceput pentru a atrage și a analiza atacatorii prin simularea unor vulnerabilități, oferind informații despre tehnicile de atac și comportamentul cibernetic malițios. § DNS Security: Măsuri de securitate care protejează sistemele DNS împotriva atacurilor precum phishing-ul și deturnarea de DNS, pentru a asigura că utilizatorii sunt redirecționați către adrese de internet legitime. § SIEM (Security Information and Event Management): Tehnologie care colectează, analizează și corelează date de securitate din diverse surse pentru a detecta și răspunde rapid la amenințările de securitate cibernetică, oferind o vizibilitate centralizată a incidentelor. Protecția datelor și infrastructurilor Securitatea infrastructurilor - Security appliances - Firewall – poate avea capabilități de router, managementul rețelei, analiza datelor - IDS (Intrusion Detection System) – monitorizarea întregii infrastructuri și a tuturor intrărilor/ieșirilor pentru detecția oricărui atac à offline, nu previne atacuri, detecție, logare, raportare - Web / Email Security Appliance – protecția serverelor Web / Email Protecția datelor și infrastructurilor Securitatea infrastructurilor Firewall - Monitorizează și filtrează traficul care intră/iese în/din rețea - Criterii tot mai complexe de filtrare - adrese IP - tipuri de conexiuni/trafic - tipuri de aplicații - context – utilizator, dispozitiv Sisteme de monitorizare și filtrare a traficului Protecția datelor și infrastructurilor Fortinet Security Fabric Protecția datelor și infrastructurilor Cisco Secure Products and Solutions Securitatea computerelor ü Accesul securizat prin blocarea dispozitivelor cu parolă: Fiecare dispozitiv ar trebui să fie protejat cu o parolă puternică pentru a preveni accesul neautorizat. ü Protecția fizică prin utilizarea cardurilor de acces: accesul la camerele serverelor se face cu ajutorul cardurilor de securitate sau scanărilor biometrice. ü Actualizările de software: De fiecare dată când se descoperă o vulnerabilitate într-un program sau sistem de operare, dezvoltatorii lansează o actualizare de securitate. Dacă aceste actualizări nu sunt aplicate, sistemul rămâne vulnerabil la atacuri. Protecția datelor și infrastructurilor Securitate Endpoint Legacy Antivirus à Complete EndPoint Security Protection à Datacenter protection Securitatea sistemelor informatice și de comunicații Ghid de îmbunătățire a securității unui computer ü Actualizaţi în permanență sistemul de operare; ü Instalaţi un program antivirus eficient; ü Folosiţi un Firewall; ü Securizaţi browser-ul dumneavoastră; ü Descărcaţi programe numai din surse sigure/legitime; ü Nu deschideţi ataşamentele suspecte ale e-mail-urilor; ü Parolaţi conturile, folosiți ,amager de parolele şi nu folosiţi aceeaşi parolă pentru toate conturile; ü Realizați copii de siguranță (backup) pentru datele importante; Securitatea sistemelor de operare Securitatea unui sistem de operare (SO) este reprezentată de capacitatea acestuia de a proteja resursele (procese, fișiere, date, conexiuni) de acces neautorizat și atacuri externe. Sistemul de operare este nucleul securității dispozitivului, gestionând resursele hardware și software, izolarea proceselor și aplicarea politicilor de acces. Un SO securizat permite controlul accesului la resurse și minimizează riscul atacurilor prin exploatarea vulnerabilităților. Autentificarea este procesul prin care un utilizator sau sistem este verificat pentru a putea accesa resursele unui SO. Aceasta asigură că doar utilizatorii autorizați pot accesa date și funcționalități protejate. Securitatea sistemelor de operare Autorizarea: definește accesul pe baza permisiunilor asignate utilizatorului autentificat. Autorizarea stabilește ce drepturi are/ poate face un utilizator în cadrul unui sistem după autentificare. Sisteme de permisiuni: modele DAC (Discretionary Access Control), MAC (Mandatory Access Control) și RBAC (Role-Based Access Control). DAC permite utilizatorilor să își gestioneze resursele proprii și să stabilească permisiuni pentru acestea. MAC este un model strict în care doar administratorii de securitate stabilesc permisiuni de acces la resurse, utilizat frecvent în medii guvernamentale pentru prevenirea scurgerilor de date. RBAC permite accesul pe baza rolurilor (ex.: "administrator" sau "utilizator standard"). Controlul accesului la nivel de fișier: Pe sistemele Unix/Linux, fișierele au setări de permisiuni care controlează cine poate citi, scrie sau executa un fișier. Exemple de comenzi pentru permisiuni în Linux: chmod 755 filename și chown user:group filename. Extensiile de fișiere Ø Abrevieri scurte folosite de un SO pentru a asocia fișierele cu aplicații compatibile. Ø Asocierile fișier-aplicație pot fi modificate de utilizatori. Ø Extensiile pot fi modificate de utilizatori -> greu de identificat fișierele folosind doar extensia lor. change file opened by default with extension Notepad Ø Convenția SO pentru denumirea fișierelor scurte (SFN): 8 caractere + „.” + 3 caractere - Folosit în sistemele moderne Microsoft doar ca alternativă la denumiri lungi, pentru compatibilitate. Ø Denumire lungă (LFN): maxim 255 caractere - Permite extensii de fișiere cu 4 sau mai multe caractere. Trebuie să se ia în considerare lungimea maximă a căii către fișier (260 caractere). Antete de fișiere (file signatures / magic number) Ø De obicei, fișierele includ câțiva octeți de date care indică tipul specific de fișier, localizat la începutul fișierului. Acest „antet” este constant pentru fiecare tip de fișier. Compressed archive file No file header Executable file JPEG file Microsoft Compound Document File (DOC,PPT,XLS) Windows SO - Evenimente jurnal Microsoft definește un „eveniment” ca orice întâmplare sau schimbare demnă de remarcat pentru utilizator, sistemul de operare sau aplicații. Jurnalele de evenimente sunt stocate în C:\Windows\system32\winevt\logs și au extensia.evtx. Evenimente jurnal ajută la identificarea și diagnosticarea problemelor care apar în sistemul de operare și aplicații. De exemplu, erori de drivere, probleme de compatibilitate sau defecțiuni ale hardware-ului pot fi urmărite și analizate. Evenimentele de securitate înregistrează evenimente legate de schimbări de privilegii, autentificări și acces la fișiere. Acesta este important pentru a detecta activități neautorizate, posibile încercări de acces neautorizat sau activități suspecte care pot indica o breșă de securitate. Securitatea sistemelor de operare Procese și managementul securizat al proceselor Izolarea proceselor: reprezintă o metodă esențială de prevenire a atacurilor, împiedicând interacțiunile neautorizate între procesele unui sistem. Politici de acces: în scopul creșterii securității, anumite aplicații sunt restricționate de la a accesa resursele altor aplicații, limitând astfel riscul de acces neautorizat sau de manipulare a datelor sensibile din alte aplicații. Acest tip de control ajută la protejarea datelor și resurselor între aplicațiile care rulează simultan pe același sistem. Sandboxing: presupune rularea aplicațiilor într-un mediu controlat, cu acces limitat la resursele sistemului, creând o barieră eficientă între aplicație și restul sistemului. Securitatea sistemelor de operare Actualizări de securitate (Update-uri) sunt esențiale pentru menținerea securității sistemului, întrucât ele adresează vulnerabilitățile descoperite ulterior lansării inițiale. Pe lângă remedierea problemelor de securitate, actualizările pot aduce și îmbunătățiri de performanță, stabilitate și funcționalitate, asigurând un sistem mai sigur și mai eficient. Patch-urile minore (de exemplu, patch-urile de securitate) abordează probleme critice de securitate și alte vulnerabilități fără a modifica în mod semnificativ funcționalitățile sistemului. Patch-urile majore, care implică versiuni noi ale sistemului, introduc schimbări importante, noi funcții și, de regulă, îmbunătățiri de securitate pe mai multe planuri. Vulnerabilități zero-day reprezintă puncte slabe necunoscute publicului sau dezvoltatorilor și pot fi exploatate de atacatori înainte de a exista o modalitate de corecție a acestora. Actualizările rapide pentru astfel de vulnerabilități sunt cruciale pentru protejarea utilizatorilor de atacurile neprevăzute, reducând expunerea la riscuri majore de securitate. Actualizările automate, cum ar fi cele furnizate prin Windows Update sau actualizările automate pe iOS/Android, sunt esențiale pentru a elimina riscul unor vulnerabilități nerezolvate, asigurând că utilizatorii beneficiază constant de cea mai bună protecție posibilă, fără a fi nevoie de intervenție manuală. Securitatea în contextul SO - Malware – MALicious softWARE - furt de date - evitarea unor mecanisme de control al accesului - daune - compromiterea unui sistem sau serviciu Tipuri de malware - SPYWARE - inregistrarea si transmiterea actiunilor unui utilizator catre un atacator - captura de date personale - taste apasate - activitati efectuate local/online TIPURI - Infostealers , Password Stealers , Keyloggers , Banker Trojans Exemple - CoolWebSearch, Gator, Internet Optimizer, Adware.Websearch Identificare – homepage, search engine, pop-ups Tipuri de malware - ADWARE – componenta a unor aplicatii legitime pentru furnizarea de publicitate - varianta malitioasa – insotita de spyware - intalnit deseori pe sistemele mobile (Google Play – 3mil. Desc.) Identificare – browser crash, homepage, toolbars, plugins, unwanted apps Tipuri de malware - Bot – componenta software ce persista intr-o stare idle in asteptarea unui declansator de la un server de comanda si control - declansarea concertata a unor atacuri in cadrul unui botnet Exemple: Grum (pharmaceutical spam) ZeroAccess (click fraud) Storm (peer-to-peer botnet) Conficker, Mariposa (banking details) Mirai (IoT) Tipuri de malware - Ransomware – blocarea accesului la un sistem pentru toti utilizatorii - blocarea datelor (prin criptare cu o cheie unica sau o serie de chei) - redarea accesului dupa plata unei recompense - se raspandeste prin intermediul fisierelor sau al unor protocoale vulnerabile Tipuri de malware - Ransomware Exemple: CriptoLocker (spam attachments) WannaCry (EternalBlue - Windows SMB) Petya (MBR) NotPetya (Ucraina) Tipuri de malware - Scareware – convingerea utilizatorului de necesitatea intreprinderii unor actiuni tehnice specializate - instalare software additional - contractare servicii de suport tehnic - afisarea de ferestre similar celor ale serviciilor de sistem Tipuri de malware - Scareware - software-ul suplimentar poate fi infectat cu alta categorie de malware sau poate fi obtinut doar contra-cost - serviciile de suport ofera posibilitatea unor scammeri de a obtine acces de la distanta la resursele victimei https://www.youtube.com/watch?v=DLzgQ35s9Os Tipuri de malware Virus Ø cod malitios care se poate atasa altor programe din sistem pentru propagarea pe o tinta noua Ø executia poate fi declansata de utilizator sau pre-programata Ø inofensive (afisare mesaje) sau daunatoare (modificare/stergere fisiere) Ø se raspandesc cu ajutorul mediilor de stocare externe, directoare partajate sau atasamente din email Tipuri de malware Trojan Horse - o aplicatie care indeplineste un scop legitim - cunoscuta de utilizator dar care contine o componenta ascunsa - ce poate fi utilizata pentru actiuni malitioase - se ataseaza de fisiere non-executabile - se executa mimand aplicatii legitime Tipuri de malware Vierme – cod malitios care se raspandeste (multiplica) rapid in retea catre alte sisteme - prin exploatarea unor vulnerabilitati - poate rula independent - degradarea capacitatii retelei Tipuri de malware Rootkit Ø poate ascunde fișiere, directoare, procese de sistem, registri, conexiuni de rețea, pagini de memorie Ø împiedica detecția unor aplicații malițioase Ø ascunde malware – keylogger, botnet node Ø facilitează mecanisme de control la distanta (backdoor) Ø exploatează mecanisme de modificare nelegitima a privilegiilor Ø masuri de contracarare – detecția si stoparea comportamentelor anormale Ø recuperare post-infectie à “factory reset” Tipuri de malware Bomba logică Ø cod malitios aflat in asteptare Ø executia declansata de un trigger local sau remote § data § ora § executia unor aplicatii importante § modificarea unor parametri de sistem, conturi de utilizator Tipuri de malware “The new guy in town” Criptojacking - amenintare emergenta - aplicatii infectate sau sripturi rulate in browser - folosirea resurselor de procesare ale victimei pentru minarea criptomonedei, cu sau fara consimatamant - Identificare – processor activ la 90-100%, racire maxima continua, utilizare substantiala a GPU Simptome - gradul de utilizare a procesorului – constant/spike-uri - scaderea vitezei de raspuns a aplicatiilor (comutarea intre aplicatii, incarcare date suplimentare etc) - apar des erori semnificative – system freeze, system crash - scaderea vitezei de incarcare a paginilor web - conexiune de retea intermitenta sau cu deconectari - modificarea/disparitia unor fisiere pre-existente - aparitia unor fisiere / aplicatii / scurtaturi noi, necunoscute - terminarea neasteptata a executiei unor aplicatii - aparitia unor terminale pentru perioade foarte scurte de timp Metode de investigare - Monitorizarea proceselor din sistem Task Manager, Process Explorer, top - confirmarea simptomelor - identificarea proceselor, relatiilor, efectelor Metode de investigare - Monitorizarea traficului de retea – Wireshark, tcpdump - Monitorizarea porturilor deschise – netstat - Monitorizarea sistemului de fisiere – fisiere noi, extensii noi - Monitorizarea aplicatiilor instalate Decizie Procese à curate, suspecte sau malițioase(infectate) ? - Verificarea relațiilor părinte/copil dintre procese. - Verificarea conturilor de utilizator sub care rulează procesele. - Verificarea argumetelor în linie de comandă pentru procesele care le utilizează. - Verificarea semnăturilor digitale. - Verificarea locației din care au fost lansate în execuție. - Verificarea atentă a denumirii. Decizie Procese à curate, suspecte sau malițioase(infectate) ? - Verificarea numărului de instanțe ale proceselor (multiple sau singleton). - Verificarea modulelor încărcate (dll). - Verificarea existenței unor procese care comunică în afara rețelei locale (Internet) deși comportamentul lor uzual nu permite acest lucru. - Verificarea existenței unor aplicații utilizator ”legitime” (Adobe, browser, etc.) care au procese copil neobișnuite, precum cmd.exe. - Verificarea unor adrese IP/URLuri suspecte accesate de procese de sistem. Riscuri de securitate pentru dispozitive mobile Acces neautorizat: Fără măsuri de protecție eficiente (parole complexe, autentificare biometrică), dispozitivele pot fi vulnerabile la acces neautorizat. Soluție: Implementarea autentificării în doi pași (2FA) și utilizarea unui manager de parole. Aplicații malițioase și descărcări din surse nesigure: aplicațiile descărcate din surse neoficiale pot conține malware, ransomware și alte tipuri de programe malițioase care accesează datele. Soluție: Instalează aplicații doar din surse sigure (Google Play Store, Apple App Store) și verifică recenziile și permisiunile acestora. Riscuri de securitate pentru dispozitive mobile Phishing și SMiShing: Mesajele text și e-mailurile de tip phishing înșală utilizatorii pentru a le extrage datele personale, inclusiv informații financiare. Soluție: Fii atent la mesajele de tip phishing care solicită date personale sau financiare și nu accesa linkuri necunoscute. Rețele Wi-Fi nesecurizate: Conectarea la rețele Wi-Fi publice poate expune dispozitivul la atacuri de tip „man-in-the-middle”, prin care atacatorii pot intercepta traficul de date. Soluție: Utilizează o rețea VPN când accesezi rețele publice pentru a cripta conexiunea. Pierderea sau furtul dispozitivului: Dispozitivele pot fi pierdute sau furate, oferind acces direct la date personale și aplicații. Soluție: Activează localizarea dispozitivului și configurarea pentru blocare și ștergere la distanță. Măsuri de protecție pentru securitatea dispozitivelor mobile Autentificare puternică și biometrie: Utilizează parole complexe, amprente, recunoaștere facială și autentificare în doi pași pentru un nivel suplimentar de protecție. Beneficiu: Reduce semnificativ riscul de acces neautorizat. Actualizări regulate de software: Actualizările de sistem și de aplicații adresează vulnerabilitățile cunoscute care pot fi exploatate de atacatori. Recomandare: Setează actualizările automate pentru a te asigura că dispozitivul rămâne protejat. Măsuri de protecție pentru securitatea dispozitivelor mobile Restricționarea aplicațiilor și permisiunilor: Permite instalarea doar a aplicațiilor din surse oficiale și limitează permisiunile la cele strict necesare. Beneficiu: Reduce riscul ca o aplicație să acceseze date sensibile sau funcționalități fără permisiunea utilizatorului. Backup de date: Realizează copii de rezervă pe cloud sau pe alte dispozitive pentru a evita pierderea de date în caz de pierdere, furt sau corupție a dispozitivului. Soluție: Setează backup automat pentru fișiere, contacte și aplicații. Criptarea datelor stocate pe dispozitiv: Criptarea protejează datele chiar dacă dispozitivul ajunge în mâini greșite. Implementare: Majoritatea dispozitivelor mobile moderne includ opțiuni de criptare care pot fi activate din setările de securitate. Instrumente și practici pentru securitatea dispozitivelor mobile Software antivirus și anti-malware: Instalează și actualizează aplicații antivirus pentru a detecta și elimina amenințările din dispozitiv. Recomandare: Optează pentru soluții cunoscute de antivirus pentru dispozitive mobile și configurează scanări periodice. VPN (Rețea Virtuală Privată): VPN-urile criptează traficul de date și protejează informațiile personale în rețelele publice. Beneficiu: VPN-ul ascunde adresa IP și oferă o conexiune securizată, reducând riscul interceptărilor. Gestionarea permisiunilor aplicațiilor: Controlează permisiunile aplicațiilor pentru a preveni accesul la date sensibile cum ar fi locația, contactele, și camera. Practică: Verifică periodic permisiunile aplicațiilor și dezactivează-le pe cele inutile. Localizare și blocare de la distanță: Activează funcțiile de localizare, blocare și ștergere de la distanță pentru a proteja datele în caz de pierdere sau furt. Implementare: Utilizează aplicațiile încorporate, cum ar fi „Find My iPhone” sau „Find My Device” pentru Android. Educația utilizatorilor privind securitatea: respectă bunele practici de securitate, cum ar fi evitarea linkurilor suspecte și recunoașterea mesajelor de phishing. Beneficiu: Un utilizator bine informat este mai puțin vulnerabil la atacurile de tip phishing și alte tehnici de inginerie socială. Mecanisme și tehnologii de autentificare Autentificarea reprezintă procesul prin care un utilizator își confirmă identitatea pentru a avea acces la un sistem, serviciu sau resursă. În funcție de nivelul de securitate dorit, se folosesc diverse mecanisme și tehnologii de autentificare, de la parole tradiționale până la soluții avansate biometrice. În funcție de context, autentificarea poate fi: Ø Autentificare single-factor (SFA): Utilizarea unui singur element (ex. parolă). Ø Autentificare multifactor (MFA): Necesită doi sau mai mulți factori. Ø Autentificare adaptivă: Se bazează pe analiza comportamentului utilizatorului. Factori de autentificare: Ø Ceva ce știi: Parole, PIN-uri. Ø Ceva ce ai: Token-uri, dispozitive mobile. Ø Ceva ce ești: Biometrie (amprentă, recunoaștere facială, voce). Mecanisme și tehnologii de autentificare Mecanisme și tehnologii de autentificare Mecanisme și tehnologii de autentificare De ce este important autentificarea? Ø Protejează datele personale (ex. email, conturi bancare, rețele sociale). Ø Previne accesul neautorizat la dispozitivele sau aplicațiile pe care le folosești. Ø Este prima linie de apărare împotriva furtului de identitate sau atacurilor cibernetice. Exemple: ü Introducerea unei parole pentru a te conecta la un cont de email. ü Utilizarea unui cod primit prin SMS pentru a confirma o plată online. ü Deblocarea telefonului cu amprenta sau recunoașterea facială. Mecanisme și tehnologii de autentificare Cum creezi o parolă sigură? Ø Fii creativ: evită parolele evidente precum ”atm12345" sau "parola123". Ø Folosește o combinație de caractere: litere mari și mici, cifre și simboluri speciale. Ø Fiecare cont, o parolă unică: nu reutiliza aceeași parolă pe mai multe platforme. Probleme frecvente cu parolele: Ø Parolele slabe sunt ușor de ghicit. Ø Parolele lungi și complexe pot fi greu de reținut. Ø Reutilizarea parolelor face ca un atac asupra unui cont să afecteze toate conturile. Soluții simple: Ø Manager de parole: Aplicații precum LastPass sau Bitwarden pot salva și genera parole sigure. Ø Schimbarea periodică a parolelor: în cazul în care suspectezi că au fost compromise. Mecanisme și tehnologii de autentificare LastPass / Bitwarden Mecanisme și tehnologii de autentificare Cum se stochează parolele? v Parolele nu trebuie stocate niciodată în text simplu. Tehnologii utilizate: Ø Hashing: transformarea parolei în format ireversibil. ü SHA-256: folosit pe scară largă, dar fără protecție împotriva atacurilor brute-force. ü bcrypt: include un factor de întârziere, prevenind atacurile automate rapide. ü Argon2: cel mai recomandat algoritm modern, protecție împotriva atacurilor brute- force și rainbow table. Ø Salting: se adaugă un șir unic (salt) înainte de hashing pentru a preveni atacurile (rainbow-table). Mecanisme și tehnologii de autentificare - Utilizatorul introduce o cheie generată pe baza - unei parole - unei biometrice – amprenta, voce, iris - token hardware - Sistemul genereaza un hash pentru informatia introdusa de utilizator - Sistemul compara rezultatul cu valoarea stocata in baza de date - Hash (1way function) q parte a protocoalelor de securitate q pastrarea parolelor q verificarea integrității fișierelor Autentificare locală/ centralizată Mecanisme și tehnologii de autentificare Coduri de unică folosință (OTP - One-Time Password) Ø Un cod temporar pe care îl primești prin SMS, email sau o aplicație. Ø Este utilizat împreună cu parola pentru a verifica identitatea. Exemplu: Când faci o plată online, primești un SMS cu un cod pe care trebuie să îl introduci pentru a finaliza tranzacția. Autentificarea în doi pași (2FA - Two-Factor Authentication) Aceasta adaugă un nivel suplimentar de securitate. Pe lângă parolă, ți se cere un alt factor de verificare, cum ar fi: Ø Un cod trimis prin SMS. Ø Confirmarea într-o aplicație de pe telefon (ex. Google Authenticator). Ø Scanarea unei amprente. Biometrie Ø Metoda folosește caracteristici fizice unice, cum ar fi amprenta sau recunoașterea facială. Ø Scanarea irisului. Exemplu: Deblocarea telefonului cu amprenta sau recunoașterea facială. Mecanisme și tehnologii de autentificare Mecanisme și tehnologii de autentificare Windows Ø Autentificarea de bază: parole pentru acces la cont -> gestionate prin fișierul SAM. Opțiuni avansate: ü Windows Hello (recunoaștere facială sau amprentă). ü Autentificarea cu PIN. ü Coduri de verificare prin SMS sau aplicații. Exemplu: dacă folosești Windows Hello, poți să-ți deblochezi laptopul cu o privire în loc să tastezi parola. Autentificare locală - Windows SAM - Security Accounts Manager %SystemRoot%\system32\config\SAM (HKLM/SAM) - hash-urile sunt generate folosind LM / NTLM (NT LAN Manager) - suita de protocoale de Securitate Microsoft - folosita pentru autentificare, integritate si confidentialitate - ambele metode, folosite exclusiv, sunt considerate nesigure - SISKEY – hash-urile din SAM sunt criptate suplimentar folosind o cheie master - facilitate exploatata de scammeri - introdusa cu WinXP - lipseste in Win10 - se genereaza %SystemRoot%\system32\config\SYSTEM Autentificare locală - Windows SAM - Security Accounts Manager - functionalitati deservite de procesul lsass.exe (%SystemRoot%\system32) - pastreaza hash-uri ale parolelor utilizatorilor in fisierul local (registry) %SystemRoot%\system32\config\SAM (HKLM/SAM) - fisierul nu poate fi accesat dupa boot - fisierul poate fi accesat/sters/inlocuit folosind o metoda de boot-are alternativa - copie pastrata in %SystemRoot%\system32\config\RegBack Mecanisme și tehnologii de autentificare Linux Ø Autentificarea de bază: parole pentru acces la conturi - > stocate în /etc/shadow cu algoritmi precum bcrypt. Soluții suplimentare: ü Coduri OTP prin Google Authenticator. ü Utilizarea unui token fizic (ex. YubiKey). Exemplu: dacă ai nevoie să te conectezi la un server Linux, poți folosi o parolă și un cod de unică folosință pentru o securitate mai bună. Mecanisme și tehnologii de autentificare Protecție prin autentificare o grupuri de utilizatori o Administrators o Users o root o sudoers Autentificare locală - Linux /etc/shadow - fisier deținut de contul root - modificare cu ajutorul executabilului /usr/bin/passwd (SUID activat) Autentificare locală - Linux /etc/shadow $id$salt$hashed $man shadow $man crypt Recuperarea parolelor - Instrumente SAM / shadow Ø parolele pot fi recuperate folosind metode de tip brute force asupra hash-urilor - hash-uri precalculate - rainbow tables (less storage, more processing) - reverse lookup tables - protecție – salted hashes - dicționare de parole (password files) – pot fi utilizate dicționare cu cele mai utilizate parole (statistic) sau se pot crea dicționare particularizate pentru anumite ținte prin metode de social engineering ü John the Ripper - parole pentru conturi de Linux, Windows - arhive protejate ü Hash Suite - auditarea parolelor pentru sisteme Windows ü L0phtCrack https://www.youtube.com/watch?v=XIG9jCj3wnk YubiKey YubiKey este un dispozitiv, de obicei sub forma unui stick, USB sau NFC, care poate fi utilizat pentru: Ø Autentificare cu doi factori (2FA): Folosind dispozitivul ca al doilea factor, pe lângă parolă. Ø Autentificare fără parolă (passwordless): Eliminând complet utilizarea parolelor. Ø Semnături digitale și criptare: Pentru protecția datelor și securizarea comunicațiilor YubiKey YubiKey funcționează utilizând protocoale de securitate standardizate, inclusiv: Ø OTP (One-Time Password): Generează coduri de unică folosință pentru autentificare. Ø FIDO2/WebAuthn: Permite autentificarea fără parolă. Ø U2F (Universal 2nd Factor): Un protocol pentru autentificarea cu doi factori. Ø GPG (GNU Privacy Guard): Permite criptarea și semnarea digitală a mesajelor. Ø OATH-TOTP și OATH-HOTP: Generează coduri bazate pe timp sau evenimente, similare aplicațiilor de autentificare (ex. Google Authenticator). Passwordless Authentication și Passkey: Autentificarea fără parole Passwordless Authentication este un proces de autentificare care nu necesită introducerea unei parole tradiționale. Identitatea utilizatorului este verificată prin alte metode mai sigure, cum ar fi dispozitivele de încredere, biometria sau token-uri hardware. Autentificarea fără parole utilizează criptografia cu chei publice. Procesul implică două componente: Ø Cheia privată: Stocată pe dispozitivul utilizatorului (ex. telefon, laptop). Ø Cheia publică: partajată către server și utilizată pentru a verifica autentificarea. Când utilizatorul dorește să se autentifice, serverul trimite un "challenge" care este semnat cu cheia privată. Această semnătură este verificată cu cheia publică, autentificând utilizatorul fără a folosi o parolă. Passwordless Authentication și Passkey: Autentificarea fără parole Passwordless Authentication și Passkey: Autentificarea fără parole Passkeys reprezintă o implementare standardizată a autentificării fără parole, bazată pe specificațiile FIDO2 și WebAuthn. Ele înlocuiesc parolele tradiționale cu o pereche de chei criptografice. Înregistrarea: Utilizatorul creează o cheie de acces pentru un cont utilizând un dispozitiv compatibil (ex. smartphone, laptop). Ø Cheia privată rămâne pe dispozitiv. Ø Cheia publică este stocată pe server. Autentificarea: Ø Utilizatorul confirmă identitatea utilizând biometrie (amprentă, recunoaștere facială) sau un PIN pe dispozitivul său. Ø Cheia privată semnează cererea serverului, iar serverul o validează cu cheia publică. Passwordless Authentication și Passkey: Autentificarea fără parole Inginerie socială Ingineria socială este o metodă prin care atacatorii încearcă să te convingă să le dai acces la informații sau conturi, fără să-ți dai seama. Exemple: Ø Phishing: un email fals de la o bancă îți cere să introduci parola. Ø Vishing: un apel telefonic fals în care cineva pretinde că oferă suport tehnic. Ø Baiting: un stick USB „uitat” într-un loc public, care conține software periculos. Ø Quishing: cod QR care conține un link către un site web malițios, o aplicație falsă sau o adresă de email configurată pentru phishing Cum te protejezi? Ø Nu răspunde la emailuri suspecte sau necunoscute. Ø Verifică mereu autenticitatea mesajelor (ex. adresa expeditorului). Ø Nu introduce parole pe link-uri primite prin email. Phishing Cadrul legislativ și reglementările în securitate cibernetică LEGEA nr. 58 din 14 martie 2023 privind securitatea și apărarea cibernetică a României stabilește cadrul juridic și instituțional privind: Øorganizarea și desfășurarea activităților din domeniile securitate și apărare cibernetică Ømecanismele de cooperare Øresponsabilitățile instituțiilor cu atribuții în domeniile menționate. ü Securitatea și apărarea cibernetică se realizează prin adoptarea și implementarea de politici și măsuri în scopul cunoașterii, prevenirii și contracarării vulnerabilităților, riscurilor și amenințărilor în spațiul cibernetic. Ordonanța de urgență a Guvernului nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, aprobată cu modificări și completări prin Legea nr. 11/2022 Ø DNSC are responsabilități privind securitatea cibernetică a spațiului cibernetic național civil, componentă a securității naționale. Ordonanța de urgență a Guvernului nr. 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice Cadrul legislativ și reglementările în securitate cibernetică ü GDPR (Regulamentul general pentru protecția datelor): Ø lege a Uniunii Europene care protejează drepturile fiecărei persoane legate de datele lor personale. Ø sancțiuni semnificative pentru neconformitate (până la 20 mil EUR sau 4% din cifra de afaceri). ü Directiva NIS (Network and Information Security): Ø Obligă operatorii de servicii esențiale să implementeze măsuri de securitate. Ø Sancțiuni pentru neconformitate. ü Strategia Națională de Securitate Cibernetică (România): Ø Obiective: consolidarea infrastructurii critice, prevenirea atacurilor cibernetice. Ø Instituții implicate: CERT-RO, Ministerul Apărării, Serviciul Român de Informații. Cadrul legislativ și reglementările în securitate cibernetică ü GDPR (Regulamentul general pentru protecția datelor): Ø Asigură că datele personale sunt colectate și utilizate corect. Ø Oferă oamenilor control asupra informațiilor lor. Ø Creează reguli comune pentru toate țările din UE. ü Ce înseamnă „date personale”? ü Orice informație care poate identifica o persoană, cum ar fi: Ø Nume, adresă, e-mail. Ø CNP, număr de telefon. Ø Date online (IP, cookies). Ø Informații despre sănătate, financiare sau locație. Cadrul legislativ și reglementările în securitate cibernetică ü Drepturile fiecărei persoane sub GDPR Ø Informații clare - persoanele trebuie să știe ce date le sunt colectate și cu ce scop. Ø Acces la datele lor - persoanele pot solicita să vadă ce informații sunt colectate. Ø Modificarea datelor - persoanele pot cere corectarea informațiilor greșite. Ø Ștergerea datelor - cunoscut și ca „dreptul de a fi uitat” – persoanele pot cere ștergerea informațiilor colectate. Ø Transferul datelor - persoanele au dreptul să își mute datele la o altă organizație. Ø Opoziția - persoanele pot refuza utilizarea datelor pentru marketing sau alte scopuri. Directiva NIS I și Legea 362/2018 Directiva NIS (Directiva UE 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016) a fost adoptată în Romania prin legea nr. 362/2018 de către Parlamentul României. LEGEA nr. 362/2018 stabilește cadrul juridic și instituțional, măsurile și mecanismele necesare în vederea asigurării unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice. Scopul acestei legislații este de a reglementa un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice. Domenii impactate Operatori de servicii esențiale (OSE) din 7 sectoare de activitate economică: Energie Furnizarea și distribuirea de apă potabilă Transport Sectorul sănătății Sectorul bancar Infrastructuri ale Infrastructură digitală pieței financiare Furnizori de servicii digitale (FSD) din trei categorii, respectiv: Piețe online Servicii de cloud computing Motoare de căutare online Cerințe și obligații legale În Noiembrie 2020 au fost elaborate Normele tehnice privind cerințele minime de asigurare a securității rețelelor și sistemelor informatice. Acestea sunt organizate pe 4 domenii de securitate, astfel: Guvernanță Apărare cibernetică Protecție Reziliență Un sistem de reguli, Implementarea roluri, responsabilități, Monitorizare continuă, cerințelor minime de proceduri, politici, capacitate de răspuns securitate in tehnologii de la incidente și conformitate cu securitate, pentru cooperare cu normele tehnice protecția autoritatile infrastructurii IT Strategia națională de securitate cibernetică - principii Coordonarea – activităţile se realizează întro concepţie unitară, pe baza unor planuri de acţiune convergente destinate asigurării securității cibernetice, în conformitate cu atribuţiile şi responsabilităţile fiecărei entităţi; Cooperarea – toate entităţile implicate (din mediul public sau privat) colaborează, la nivel naţional şi internaţional, pentru asigurarea unui răspuns adecvat la ameninţările din spaţiul cibernetic; Eficienţa – demersurile întreprinse vizează managementul optim al resurselor disponibile; Prioritizarea – eforturile se vor concentra asupra securizării infrastructurilor cibernetice ce susţin infrastructurile critice naţionale. Diseminarea – asigurarea transferului de informații, expertiză şi bune practici în scopul protejării infrastructurilor cibernetice. Cei 3 piloni ai securității cibernetice Oamenii ca pilon al securității cibernetice (PEOPLE) - sunt adesea denumiți cea mai slabă verigă a securității cibernetice. Motivul principal este că eroarea umană sau ignoranța pot deschide neintenționat vulnerabilități. Prin urmare, instruirea și conștientizarea în domeniul sec

Spaţiul Cibernetic. Sistem Informatic şi de Comunicaţii PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue