Securitatea și protecția aplicațiilor, sistemelor și serviciilor informatice

1. Introducere

Tehnologia informației și a comunicațiilor este cu siguranță industria cu cea mai rapidă și avansată dezvoltare din istoria omenirii. Acest lucru se datorează în principal faptului că inovația este motorul care împinge acest domeniu de la spate și care îl transformă și definește. În informatică limita inovației este adeseori limita imaginației. Acest fapt a dus la un progres fenomenal în ultimele decenii iar diferențele de capacități și posibilități, atât pe partea de hardware cât și pe partea de software, sunt uriașe chiar și când se compară tehnologii cu diferențe de doar câțiva ani între ele. Dezvoltarea aceasta a generat o multitudine de avantaje din toate punctele de vedere, cum ar fi cele legate de calitatea vieții respectiv ușurința de a obține informații, organizare, planificare, divertisment, facilitarea și ușurarea comunicării, ușurarea munci și a sarcinilor atât pentru angajați cât și pentru companii, facilitarea și ajutorarea cercetării științifice indiferent de domeniu, automatizarea aparatelor, mașinilor, utilajelor, liniilor de producție, a sistemelor de la cele mai simple la cele mai complexe. Pe scurt, această “explozie a informației” a adus omenirea la un nivel greu de imaginat în urmă cu câteva decenii iar dezvoltarea nu pare să încetinească, ba dimpotrivă, aceasta este în plină accelerare.

Din păcate această dezvoltare exacerbată vine cu un preț greu de cuantificat atunci când vine vorba de securitate și protecție. Riscurile la care sunt supuși cei care folosesc sisteme informatice, servicii și aplicații sunt uriașe deoarece un terț rău intenționat poate accesa serviciile respective și poate provoca daune. Atât în cazul persoanelor fizice cât și în cazul celor juridice un atac cibernetic poate avea o multitudine de urmări, de la cele mai puțin grave și până la cele care pot ruina efectiv viața, integritatea și buna funcționare.

În cazul persoanelor fizice, acestea sunt expuse de regulă la furtul de date personale (date de identificare, adresa de domiciliu) , deturnarea unor conturi online pe diverse platforme, furtul de date bancare și furtul de materiale (documente, poze, filmări) cu caracter personal, care țin de viața privată a fiecărui individ. Așa cum spuneam mai devreme, accesul unui terț la aceste informații poate fi un simplu deranj pentru victimă dar poate avea și urmări mult mai grave pe termen lung.

În cazul persoanelor juridice expunerea este de regulă mai vastă și mai dăunătoare. Cele mai comune probleme de securitate cu care se confruntă companiile sunt furtul de informații cu caracter intern (hotărâri, directive, strategii) și furtul de baze de date (liste de clienți, de furnizori, de prețuri, de angajați, de salarizări). În cazuri mai rare aceste informații pot fi pierdute prin ștergerea lor cu rea voință și dacă entitatea atacată a desconsiderat riscurile la care s-a expus prin lipsa de implementare a unor sisteme de protecție adecvate pierderile pot fi uriașe iar refacerea bazelor respective de date este o sarcină extrem de anevoioasă și de lungă durată. Există însă și vulnerabilități care pot genera pierderi mari de profit prin oprirea sistemelor, respectiv a producției sau chiar distrugerea sistemelor sau a echipamentelor. Acest tip de atac este mai rar întâlnit deoarece presupune eforturi și resurse mari din partea terților răuvoitori și majoritatea sistemelor care controlează aparatele, mașinile, utilajele sau liniile de producție dispun din fabricație de o minimă protecție împotriva unei manipulări necorespunzătoare.

2. Tipuri de vulnerabilități

Expunerea, atât a persoanelor fizice cât și a celor juridice, la atacuri informatice este proporțională cu nivelul de utilizare a diverselor sisteme, servicii sau aplicații dar în același timp utilizarea intensă și vastă a acestora poate face ca utilizatorul lor să fie mai abil în a se proteja împotriva eventualelor atacuri sau scurgeri de informații. În cazul companiilor sau a instituțiilor, acestea sunt responsabile în primul rând cu instruirea personalului în legătură cu tipurile de vulnerabilități și metodele de protecție împotriva lor dar asta nu înseamnă că nu trebuie create și implimentate în același timp și sisteme informatice automate care să restricționeze acțiunile însoțite de risc.

2.1 ”Virusul” (vierme, troian)

Una dintre cele mai vechi și bine cunoscute probleme de care se pot lovi utilizatorii serviciilor informatice este ”virusul”, un program conceput să evite sistemele de protecție și să execute o sarcină clară, bine definită și dăunătoare. Nu vom intra în detalii legat de tipurile de viruși și de sarcini executate de aceștia dar codul lor poate fi conceput să execute o plaja variată de sarcini, de la cele mai puțin dăunătoare, ba chiar puerile uneori, și până la sarcini avansate, cu scopul de a fura informații sau a distruge sisteme. Nevoia protecției împotriva acestora este de regulă bine cunoscută de marea majoritate a utilizatorilor.

2.2 Atacuri de tip phishing

O problemă mai puțin cunoscută de către utilizatorii de rând a serviciilor, sistemelor sau aplicațiilor este atacul de tip phishing. Acesta reprezintă probabil principala metodă utilizată de terți pentru a obține acces nepermis la sisteme și informații restricționate. De regulă acest tip de atac este bazat pe o componentă de “inginerie socială” (social engineering). Ingineria socială presupune manipularea de la distanță a utilizatorului prin folosirea unor tertipuri. Aceasta s- a dezvoltat vertiginos în ultimii ani, devenind metoda de bază a înșelătoriilor telefonice. În cazul atacurilor informatice phishing-ul constă de regulă în trimiterea unui email făcut să pară venit din partea unei organizații, companii sau instituții de încredere care fie solicită utilizatorului diverse informații (chipurile pentru a-și proteja contul), fie îl anunță că a fost ales pentru o promoție specială, fie că a câștigat un premiu, etc. (componenta de ”social engineering”) cu scopul de a-l convinge să acceseze un link. A doua parte a atacului presupune accesarea efectivă a link-ului care îl direcționează pe utilizator către o pagină fictivă unde acesta introduce de bunăvoie informații confidențiale (conturi, parole, date personale, etc.) iar acestea ajung pe mâna terților care au creat atacul. Uneori a doua parte nu constă în procedeul descris mai sus ci într-un atac de tip ”drive-by exploit”, pe care îl vom explica în următorul punct.