TEZĂ DE DOCTORAT REZUMAT

Transcription

1 UNIVERSITATEA POLITEHNICA din BUCUREŞTI FACULTATEA DE ELECTRONICĂ, TELECOMUNICAŢII ŞI TEHNOLOGIA INFORMAŢIEI CATEDRA TEHNOLOGIE ELECTRONICĂ ŞI FIABILITATE Nr. Decizie Senat 112 din TEZĂ DE DOCTORAT REZUMAT Contribuţii la studiul survivabilităţii sistemelor informaţionale Contributions to the Study of Informational Systems Survivability Autor: Ing. Ioan Cosmin MIHAI COMISIA DE DOCTORAT Facultatea de Electronică, Telecomunicaţii Preşedinte Prof.dr.ing. Teodor Petrescu de la şi Tehnologia Informaţiei, Universitatea POLITEHNICA din Bucureşti Facultatea de Electronică, Telecomunicaţii Conducător Prof.dr.ing. Ioan Bacivarov de la şi Tehnologia Informaţiei, Universitatea de doctorat POLITEHNICA din Bucureşti Facultatea de Electronică, Telecomunicaţii Referent Prof.dr.ing. Adrian Mihalache de la şi Tehnologia Informaţiei, Universitatea POLITEHNICA din Bucureşti Referent Prof.dr.ing. Daniela Popescu de la Facultatea de Inginerie Electrică şi Tehnologia Informaţiei, Universitatea din Oradea Referent C.S.I.dr.ing. Eugeniu Stăicuţ de la Institutul Naţional de Cercetare Dezvoltare în Informatică, Bucureşti BUCUREŞTI 2011

2 CUPRINS LISTA DE ABREVIERI...vi LISTA DE FIGURI...x LISTA DE TABELE...xiv CAPITOLUL I INTRODUCERE SCOPUL TEZEI DE DOCTORAT OPORTUNITATEA TEZEI ALESE ORGANIZAREA PE CAPITOLE A LUCRĂRII PROBLEMA SURVIVABILITĂŢII ÎN DOMENIUL INFORMATIC... 3 CAPITOLUL II SECURITATEA INFORMAŢIILOR IMPORTANŢA SECURITĂŢII SISTEMULUI INFORMATIC DEFINIŢIA SECURITĂŢII INFORMAŢIEI STANDARDE DE SECURITATE ABORDAREA SECURITĂŢII INFORMAŢIILOR IMPLEMENTAREA SECURITĂŢII PE UN SISTEM INFORMATIC Nivelul fizic al securităţii Nivelul logic al securităţii Drepturile de acces în sistemul de operare Linux Drepturile de acces în sistemul de operare de tip Windows MODELE DE ASIGURARE A SECURITĂŢII Modelul Monitor Modelul Graham Denning Modelul Bell LaPadula Modelul Harrison Ruzo Ullman Modelul Biba Modelul Clark Wilson Modelul reţea Modelul zidului chinezesc Modelul BMA STUDIU CRITIC ASUPRA MODELELOR DE SECURITATE ANALIZA RISCULUI DE SECURITATE Ameninţările la adresa securităţii informatice Managementul riscului de securitate

3 Analiza calitativă a riscului Analiza cantitativă a riscului Analiza cost beneficii CONCLUZII...42 CAPITOLUL III MODELE DE ATACURI INFORMATICE VULNERABILITĂŢILE SISTEMULUI INFORMATIC ANALIZA PIERDERILOR DATORATE ATACURILOR ÎN CADRUL ORGANIZAŢIILOR STUDIU PRIVIND EVOLUŢIA ATACURILOR INFORMATICE Evoluţia atacurilor informatice de a lungul timpului Tendinţele atacurilor în anii viitori Analiza ameninţărilor informatice în România ANALIZA PRINCIPALELOR TIPURI DE ATACURI INFORMATICE Analiza viruşilor informatici Programe de tip Adware, Spyware sau Rogue Analiza cailor troieni Analiza viermilor informatici Atacul prin refuzul serviciilor DoS Atacul Buffer Overflow IP sniffing Tipuri de atacuri prin e mail E mail bombing E mail spoofing E mail spamming E mail phishing Hoax/chain letter ANALIZA ATACATORILOR ŞI A NIVELURILOR DE ATAC Termeni de specialitate folosiţi pentru atacatori Atributele atacatorilor Profilul atacatorilor Clasificarea atacurilor în funcţie de obiectivul atacatorilor Clasificarea atacurilor în funcţie de accesul la sistemele informatice STRUCTURA ŞI SEMANTICA UNUI ARBORE DE ATAC CREAREA ARBORELUI DE ATAC PENTRU O ORGANIZAŢIE REALIZAREA MODELELOR DE ATAC PENTRU PERFECŢIONAREA ARBORILOR DE ATAC PERFECŢIONAREA ARBORILOR DE ATAC CONCLUZII...95 CAPITOLUL IV METODE DE ASIGURARE A SECURITĂŢII INFORMAŢIILOR SERVICII DE SECURITATE ÎN SISTEMELE DISTRIBUITE Serviciile de securitate a entităţilor Serviciile de securitate a comunicaţiilor MECANISME DE SECURITATE CRIPTOGRAFIA Noţiuni de bază Algoritmul de criptare simetrică Algoritmul de criptare asimetrică

4 Procedeul de autentificare Autentificarea Kerberos V Autentificarea SSL/TLS Analiza semnăturii digitale Analiza certificatelor digitale CANALE DE COMUNICAŢII SECURIZATE STANDARDUL S/MIME REŢELE VIRTUALE PRIVATE Strategii de implementare a reţelelor private virtuale Transmiterea datelor prin tunel Moduri de criptare Protocoalele complementare din standardul IPSec Modul de funcţionare IPSec ANALIZA PROGRAMELOR ANTIVIRUS STUDIU ASUPRA PROGRAMELOR FIREWALL Tipuri de firewall uri Firewall uri de filtrare Firewall uri intermediare Propuneri privind realizarea unui program firewall IPTABLES Îmbunătăţirea unui firewall IPTABLES CONCLUZII CAPITOLUL V ANALIZA SURVIVABILITĂŢII UNUI SISTEM INFORMATIC DEFINIŢIA SURVIVABILITĂŢII PROPRIETĂŢILE SISTEMELOR SURVIVABILE ELEMENTELE PRINCIPALE ALE SURVIVABILITĂŢII METODA DE ANALIZARE A SURVIVABILITĂŢII UNUI SISTEM INFORMATIC MODELUL DE EVALUARE A SURVIVABILITĂŢII UNUI SISTEM INFORMATIC Notaţii folosite pentru calculul survivabilităţii Model de simulare a apariţiei incidentelor Model de simulare al impactului unui atac asupra sistemului Evaluarea survivabilităţii REALIZAREA UNUI SISTEM E LEARNING PE O MAŞINĂ VIRTUALĂ Conceptul de maşină virtuală Maşina virtuală VMware Dispozitivele maşinii virtuale VMware Instalarea şi configurarea maşinii virtuale Realizarea sistemului e learning Conectarea, selectarea şi utilizarea bazei de date Realizarea modulului de administrare Realizarea modulului pentru profesori Realizarea modulului pentru studenţi Configurarea serverului web pentru aplicaţia e learning ANALIZA IMPACTULUI ATACURILOR CE VIZEAZĂ MAŞINA VIRTUALĂ ASUPRA SISTEMULUI REAL Studiul impactului viruşilor asupra sistemului real după compromiterea sistemului virtual

5 Studiul impactului troienilor asupra sistemului real după compromiterea sistemului virtual Studiul impactului viermilor asupra sistemului real după compromiterea sistemului virtual Studiul impactului atacului DoS asupra sistemului virtual şi celui real STUDIUL SURVIVABILITĂŢII SISTEMULUI E LEARNING Rezultatele simulării Analiza simulării CONCLUZII CAPITOLUL VI CONCLUZII FINALE C1. PRINCIPALELE ASPECTE EXPUSE ÎN CADRUL TEZEI C2. CONCLUZII GENERALE C3. CONTRIBUŢII ORIGINALE C4. PERSPECTIVE DE DEZVOLTARE ULTERIOARĂ ANEXE A1. INSTALAREA MAŞINII VIRTUALE A2. FUNCŢIA DE TRIMITERE A UNUI E MAIL A3. PROCESUL DE CĂUTARE AL ADMINISTRATORILOR ÎN BAZA DE DATE 215 A4. FUNCŢIA GENERATE_PASS() A5. ACTIVITATEA ŞTIINŢIFICĂ A AUTORULUI BIBLIOGRAFIE

6 INTRODUCERE Teza de doctorat are ca scop studiul survivabilităţii sistemelor informaţionale şi propunerea unei soluţii de îmbunătăţire a survivabilităţii sistemului informatic. Survivabilitatea se defineşte ca fiind capacitatea unui sistem de a şi îndeplini misiunea, într un interval de timp stabilit, în prezenţa atacurilor, defectărilor sau accidentelor. Survivabilitatea reuneşte conceptele de securitate, toleranţa defectărilor, siguranţă, fiabilitate, performanţă, verificare şi testare [64]. În ultima vreme se pune din ce în ce mai mult accent pe survivabilitatea sistemelor informatice ce oferă servicii pe Internet. Noţiunea centrală a survivabilităţii este capacitatea unui sistem de a şi îndeplini misiunea, chiar dacă anumite porţiuni ale sale sunt afectate parţial sau distruse în totalitate [61]. Pe plan internaţional există mai multe studii ale survivabilităţii sistemului informatic şi ale reţelelor de telecomunicaţii, remarcabile fiind Information Survivability: Required Shifts in Perspective scrisă de Julia H. Allen şi Dr. Carol A. Sledge, Principles of Survivability and Information Assurance de Lawrence R. Rogers sau Survivability A New Technical and Business Perspective on Security de Howard F. Lipson şi David A. Fisher. La noi în ţară există puţine abordări ale conceptului de survivabilitate, de multe ori preluându se ideile autorilor străini. În acest context am considerat utilă studierea survivabilităţii unui sistem informatic şi propunerea unei metode de îmbunătăţire a survivabilităţii sistemului informatic. Teza de doctorat prezintă crearea unui arbore de atac pentru un sistem informatic, dezvoltarea unor modele de atac pentru perfecţionarea arborelui de atac, realizarea unui sistem e learning pe o maşină virtuală, atacarea sistemului virtual folosind arborele de atac, studiul impactului atacurilor ce vizează maşina virtuală asupra maşinii reale şi studiul survivabilităţii sistemului informatic. Capitolul I reprezintă o introducere în domeniul tezei de doctorat. Se punctează scopul tezei de doctorat şi obiectivele stabilite. Apoi se prezintă oportunitatea temei alese, ţinându se cont de stadiul actual al cercetării în domeniul survivabilităţii. La finalul primului capitol se prezintă problema survivabilităţii în domeniul informatic. Capitolul II prezintă conceptul de securitate, survivabilitatea fiind o latură a acesteia. Sunt analizate pe scurt standardele de securitate şi modul de abordare al securităţii informaţiilor. Se prezintă principalele modele matematice de asigurare a securităţii după care se realizează un studiu critic asupra acestor modele de securitate. În finalul capitolului se face o analiză a riscului de securitate. În capitolul III sunt prezentate modelele de atacuri informatice prezente la ora actuală pe Internet. Sunt descrise vulnerabilităţile sistemului informatic şi principalele tipuri de atacuri informatice. S a realizat un studiu asupra evoluţiei atacurilor informatice, atât la nivel 6

7 global, cât şi în România, stabilindu se tendinţele atacurilor în viitorii ani, precum şi o analiză a pierderilor datorate acestor atacurilor în cadrul organizaţiilor în ultimii 5 ani. Este prezentat arborele de atac ca o metodă sistematică ce caracterizează securitatea sistemului informatic, caracterizare bazată pe diverse tipuri de atacuri. În cadrul acestui capitol a fost conceput un astfel de arbore de atac pentru o organizaţie, după care a fost perfecţionat prin adăugarea unor modele de atacuri. În cadrul capitolului IV sunt prezentate metode de asigurare a securităţii informatice: criptografia, canale de comunicaţii securizate, standardul S/MIME, reţele virtuale private, programe antivirus şi programe firewall. În cadrul acestui capitol au fost aduse propuneri pentru realizarea unui program firewall IPTABLES pentru un sistem Linux, firewall ce poate filtra traficul dintre Internet şi o reţea locală, precum şi câteva sugestii pentru îmbunătăţirea programului firewall. În capitolul V este analizată survivabilitatea sistemului informatic. Se defineşte survivabilitatea, elementele principale ale survivabilităţii şi metoda de analizare a survivabilităţii unui sistem informatic. Este prezentat conceptul de maşină virtuală, propus pentru îmbunătăţirea survivabilităţii sistemului informatic. Pentru calculul survivabilităţii unui sistem informatic s a folosit modelul dezvoltat de Soumyo D. Moitra şi Suresh L. Konda [62]. Acest model analizează răspunsul sistemului informatic la incidentele apărute şi calculează survivabilitatea sistemului. Pentru calcularea şi testarea survivabilităţii a fost concepută o platformă e learning ce rulează pe un server HTTP, configurat pe o maşină virtuală. Aplicaţia e learning a fost testată timp de 3 ani fără niciun incident notabil. Adresa la care se găseşte această platformă on line este laboratory.net. Platforma e learning a fost structurată pe trei module principale: modulul de administrare, modulul pentru profesori şi modulul pentru studenţi. A fost studiat pericolul reprezentat de atacul cu viruşi, troieni şi viermi informatici folosind arborii de atac dezvoltaţi în cadrul capitolului III. Pentru a studia efectele atacului DoS s a testat impactul atacului de tip packet flood asupra maşinii virtuale şi asupra celei reale. În urma acestor teste a fost calculată survivabilitatea maşinii virtuale şi a fost observată variaţia acesteia în funcţie de costurile mecanismelor de securitate şi de probabilitatea de apariţie a unui incident grav. Calculând şi survivabilitatea maşinii reale, aceasta s a dovedit a fi mai mare decât survivabilitatea maşinii virtuale. Capitolul VI prezintă concluziile finale şi contribuţiile originale aduse în domeniul survivabilităţii sistemului informatic. * * * Mulţumesc conducătorului de doctorat, domnului prof.dr.ing. Ioan Bacivarov, pentru sprijinul acordat în elaborarea tezei de doctorat şi pentru oportunitatea oferită de a studia în domeniul securităţii maşinilor virtuale la Universitatea din Genova, Departamentul de Informatică şi Tehnologia Informaţiei, în cadrul proiectului de mobilitate Leonardo da Vinci. Mulţumesc doamnei prof.dr.ing. Angelica Bacivarov pentru îndrumarea continuă de a lungul perioadei de doctorat şi pentru sugestiile oferite în conceperea şi finalizarea tezei. Ţin să mulţumesc pe această cale domnului decan al Facultăţii de Electronică, Telecomunicaţii şi Tehnologia Informaţiei, prof.dr.ing. Teodor Petrescu, doamnei prof.dr.ing. Daniela Popescu, domnului prof.dr.ing. Adrian Mihalache şi domnului C.S.I.dr.ing. Eugeniu Stăicuţ pentru încrederea acordată prin participarea în comisia de susţinere publică a tezei de doctorat. Mulţumesc colectivului Catedrei de Tehnologie Electronică şi Fiabilitate din cadrul Facultăţii de Electronică, Telecomunicaţii şi Tehnologia Informaţiei, Universitatea Politehnică din Bucureşti, pentru aprecierile şi sfaturile privind conceperea tezei de doctorat. 7

8 SECURITATEA INFORMAŢIILOR Datorită dezvoltării tehnologiei, sistemul informatic a devenit un instrument de comunicare indispensabil. Dar orice mijloc de comunicare, mai ales când mediul de comunicare este un mediu nesigur, cum este Internetul, prezintă riscuri. Utilizarea sistemelor informatice conectate la Internet în domenii vitale precum domeniul militar sau domeniul comercial face ca acest risc să crească simţitor. Sistemele informatice s au dovedit vulnerabile în faţa atacurilor de pe Internet, la accesările neautorizate a sistemului, la modificări sau distrugeri de informaţii, accidentale sau intenţionate. Atenuarea şi corectarea acestor vulnerabilităţi a devenit o obligaţie atât pentru organizaţii cât şi pentru persoanele fizice pentru protejarea informaţiilor. La începutul acestui capitol am definit conceptul de securitate informatică şi am prezentat metodele de implementare a securităţii în sistemele informatice. Securitatea informaţiilor este un concept ce se referă la asigurarea integrităţii, confidenţialităţii şi disponibilităţii informaţiilor [74]. Securitatea informaţiei este obţinută prin implementarea unui set adecvat de politici, practici, proceduri, structuri organizaţionale şi funcţii software. Aceste elemente trebuie implementate în măsura în care se asigură atingerea obiectivelor specifice de securitate STANDARDE DE SECURITATE În cadrul acestui subcapitol am realizat un studiu critic al standardelor de securitate din domeniul securităţii informatice, punând accentul pe ISO 27002, standard ce reprezintă codul practică pentru managementul securităţii informaţiei IMPLEMENTAREA SECURITĂŢII PE UN SISTEM INFORMATIC Am prezentat modul general de implementare a securităţii pe un sistem informatic ca un model cu mai multe straturi ce reprezintă nivelurile de securitate ce înconjoară subiectul ce trebuie protejat [38]. Fiecare nivel izolează subiectul şi îl face mai dificil de accesat. Am descris nivelul fizic şi nivelul logic ce poate fi împărţit în securitatea accesului şi securitatea serviciilor. Securitatea fizică reprezintă nivelul exterior al modelului de securitate şi constă, în general, în închiderea echipamentelor informatice într o altă incintă precum şi asigurarea pazei şi a controlului accesului. Securitatea logică constă din acele metode logice (software) care asigură controlul accesului la resursele şi serviciile sistemului. La rândul ei, securitatea logică conţine mai multe niveluri împărţite în două grupe mari: niveluri de securitate a accesului şi niveluri de securitate a serviciilor. În cadrul nivelului logic al modelului de securitate am făcut o analiză comparativă a drepturilor de acces în sistemele de operare Linux şi Microsoft Windows. 8

9 2.6. MODELE DE ASIGURARE A SECURITĂŢII Modelele de securitate sunt importante pentru definirea mijloacelor de implementare a securităţii. În urma stabilirii unei politici de securitate se poate alege modelul corespunzător de securitate care să conţină mecanismul logic de implementare a politicii. Modelele de securitate sunt împărţite în două categorii: modele de securitate multinivel şi modele de securitate multilaterale. Modelele de securitate multinivel prezintă sistemul informatic ca un sistem divizat în straturi, securitatea realizându se pe nivele multiple, existând astfel o delimitare netă între diferite categorii de informaţii (publice, confidenţiale, secrete, strict secrete) [14]. Fig Model de securitate multinivel Prin această delimitare informaţiile dintr un anumit nivel vor fi accesate numai de persoanele ce au autorizaţia pentru acelaşi nivel sau pentru un nivel superior. Modelele de securitate multilaterale conţin niveluri verticale. Fig Model de securitate multilateral În cadrul acestor modele de securitate se realizează un control al fluxurilor informaţionale laterale STUDIU CRITIC ASUPRA MODELELOR DE SECURITATE În cadrul acestui subcapitol am realizat un studiu critic al acestor modele de securitate, stabilind că pentru un sistem informatic izolat cel mai potrivit model de securitate este modelul Harrison Ruzo Ullman, un model dinamic, cu o politică de reguli bine pusă la punct pentru crearea şi ştergerea obiectelor sau subiecţilor dintr un sistem informatic şi pentru schimbarea modurilor de acces. Modelul Harrison Ruzo Ullman conţine un număr de şase operaţii principale cu ajutorul cărora sunt gestionate obiectele şi subiecţii din sistem: crearea unui obiect sau a unui subiect; ştergerea unui obiect sau subiect; introducerea unor reguli în matricea de control al accesului; ştergerea unor reguli din matricea de control al accesului [74]. 9

10 Modelul de securitate Harrison Ruzo Ullman prezintă avantajul existenţei sistemului de autorizări. Astfel un subiect poate crea diverse drepturi de acces pentru anumiţi utilizatori din sistem asupra obiectelor faţă de care este proprietar. Pentru o reţea de calculatoare cel mai bine se potriveşte modelul reţea, un model de securitate multilateral. Modelul reţea foloseşte compartimentarea pentru restricţionarea accesului la informaţii, prin folosirea cuvintelor cod şi a clasificărilor. Cuvintele cod sunt folosite pentru crearea grupurilor de control al accesului. Clasificările, împreună cu aceste cuvinte cod formează o reţea ANALIZA RISCULUI DE SECURITATE Pe lângă stabilirea unei politici de securitate şi implementarea unui model de securitate, o organizaţie trebuie să analizeze riscul de securitate. În cadrul acestei secţiuni am analizat ameninţările existente la ora actuală la adresa securităţii informatice, acestea putând fi grupate în trei categorii: naturale şi fizice, accidentale şi intenţionate. Riscul poate fi definit ca o ameninţare care poate să exploateze eventualele vulnerabilităţi ale sistemului. Pentru a preîntâmpina apariţia unui eveniment care să afecteze sistemul informatic trebuie luate măsuri de securitate corespunzătoare, riscurile trebuind a fi gestionate în mod corespunzător Managementul riscului de securitate În cadrul acestui subcapitol am studiat şi prezentat activitatea de management a riscului de securitate. Managementul riscului pentru un sistem informatic poate fi definit ca totalitatea metodelor de identificare, control, eliminare sau minimalizare a evenimentelor ce pot afecta resursele sistemului. Managementul riscului include analiza riscurilor, analiza costului beneficiilor, selecţia mecanismelor, evaluarea securităţii măsurilor adoptate şi analiza securităţii în general. Am întocmit o analiză calitativă, cantitativă şi o analiză a raportului cost beneficii pentru riscul de securitate. Un aspect important în analiza riscurilor o constituie partea financiară. Mecanismele de control implementate nu trebuie să depăşească valoarea bunurilor protejate. Din analizele făcute rezultă că alocarea a 20% din costuri pentru securitate se reflectă în 80% beneficii în ceea ce priveşte minimizarea riscurilor şi asigurarea securităţii. 10

11 MODELE DE ATACURI INFORMATICE 3.1. VULNERABILITĂŢILE SISTEMULUI INFORMATIC În această secţiune am prezentat vulnerabilităţile sistemului informatic şi o clasificare a acestora în funcţie de gravitate şi consecinţe. Principalele vulnerabilităţi în cadrul sistemelor informatice sunt de natură fizică, hardware, software sau umană. Din punct de vedere software, există mai multe tipuri de vulnerabilităţi: care măresc privilegiile utilizatorilor locali fără autorizaţie, care permit utilizatorilor externi să acceseze sistemul în mod neautorizat şi care permit implicarea sistemului într un atac asupra unui terţ utilizator STUDIU PRIVIND EVOLUŢIA ATACURILOR INFORMATICE Am realizat un studiu privind evoluţia atacurilor informatice de a lungul timpului, precum şi tendinţa acestora în anii viitori. Începând cu viruşii creaţi pentru amuzament la mijlocul anilor 80, s a ajuns la realizarea unor viermi complecşi folosiţi pentru spionaj industrial. Mai mult decât atât, atacurile sofisticate din zilele noastre nu mai pot fi încadrate în tipuri bine definite de atacuri, ele prezentând trăsături caracteristice atât viruşilor, troienilor sau viermilor. Cu alte cuvinte aceste malware pot să se automultiplice în reţea (caracteristică comună viermilor), pot crea breşe în securitatea sistemului informatic pentru a facilita accesul atacatorului (caracteristică troienilor) şi odată instalaţi în sistemul de operare al victimei, poate realiza activităţi de distrugere (acţiune caracteristică viruşilor). Cu ajutorul rapoartelor oferite de Bitdefender am realizat o analiză a ameninţărilor informatice în România ANALIZA PRINCIPALELOR TIPURI DE ATACURI INFORMATICE Am analizat principalele tipuri de atacuri informatice: viruşi informatici, programe de tip adware, spyware sau rogue, cai troieni, viermi informatici, atacul prin refuzul serviciilor DoS, buffer overflow şi IP sniffing. Datorită faptului că numărul atacurilor prin e mail a crescut foarte mult, am studiat atacurile e mail bombing, e mail spoofing, e mail spamming, e mail phishing şi chain letter. Pentru fiecare tip de atac am propus diferite metode de combatere şi securizare a sistemului informatic Analiza viruşilor informatici Virusul este un software, de regulă distructiv, proiectat pentru a infecta un sistem informatic. Virusul prezintă două caracteristici de bază: se auto execută şi se auto multiplică. Viruşii informatici pot fi clasificaţi în funcţie de programul executabil în care se infiltrează sau în funcţie de modalitatea lor de funcţionare. În funcţie de programul executabil în care se infiltrează, există viruşi MBR (Master Boot Record), viruşi BS (Boot Sector), viruşi de fişiere, viruşi de macro uri, viruşi pereche sau viruşii de link uri. După modalitatea de funcţionare şi de tehnicile folosite, viruşii se 11

12 clasifică în viruşi invizibili, viruşi polimorfici şi viruşi rezidenţi sau non rezidenţi în memoria calculatorului Analiza cailor troieni Caii troieni sunt programe deghizate ce încearcă să creeze breşe în sistemul de operare pentru a permite unui utilizator accesul în sistem [2]. Troienii nu au facilitatea de a se auto multiplica precum viruşii informatici. Troienii sunt alcătuiţi din trei componente: programul Server: programul propriu zis al troianului ce infectează calculatorul victimă; programul Client: folosit pentru conectarea la calculatorul infectat şi pentru a trimite comenzi sau a primi informaţii; programul Build/Edit Server: folosit pentru editarea programului Server. Caii troieni se pot împărţi în mai multe categorii, în funcţie de scopul acţiunii lor: backdoors, password stealer, logical bombs şi Denial of Service tools Analiza viermilor informatici Viermii informatici sunt programe cu efecte distructive ce utilizează comunicarea între computere pentru a se răspândi [21]. Viermii au trăsături comune atât cu viruşii cât şi cu troienii. Viermii informatici sunt capabili să se multiplice, asemenea viruşilor, însă nu local, ci pe alte calculatoare. Folosesc reţelele de calculatoare pentru a se răspândi pe alte sisteme. Caracteristica comună cu a troienilor este faptul că viermii nu pot infecta un fişier; ei afectează sistemul. Viermii se pot răspândi prin , prin fişiere partajate în reţea, prin programele de mesagerie sau prin programe de partajare de fişiere. Din acest punct de vedere se poate face următoarea clasificare a viermilor: viermi de e mail, viermi de mesagerie instantanee, viermi de Internet, viermi de IRC şi viermi de fişiere partajate în reţea Atacul prin refuzul serviciilor DoS Atacul prin refuzul serviciilor DoS (Denial of Service) are ca efect degradarea calităţii funcţionării anumitor servicii oferite de un server sau poate duce chiar la dezafectarea acestora [47][43]. Cel mai cunoscut atac de refuz al serviciilor este atacul de tip bombardament de pachete (packet flood), ce afectează stiva de protocoale TCP/IP a calculatoarelor ţintă. Prin intermediul acestui atac sunt trimise un număr foarte mare de pachete ce au ca efect blocarea temporară a conexiunilor deschise pe calculatorul ţintă şi încărcarea traficului în reţea [78]. Dacă numărul de pachete este foarte mare, acest atac poate duce la blocarea totală a serviciilor calculatorului ţintă şi a traficului. Acest fenomen se întâmplă de regulă când asupra calculatorului ţintă sunt îndreptate mai multe atacuri de acest fel simultan. Când aceste atacuri provin de la mai multe surse ele poartă numele de atacuri distribuite DDoS (Distribuited Denial of Service) [15][78]. În atacurile de tip DoS pot fi folosite pachete TCP, UDP sau ICMP. În multe din atacurile cu pachete TCP şi UDP sunt modificate atributele pachetelor trimise. De cele mai multe ori sunt modificate adresele IP pentru a ascunde identitatea calculatorului de pe care este trimis atacul, portul sursă sau portul destinaţie. Scopul modificării porturilor sursă şi destinaţie este pentru ca filtrarea pachetelor să fie mai dificilă sau pentru a ataca un anumit serviciu pus la dispoziţie de un server. Pentru a încărca traficul se folosesc atacuri SYN flood (se trimite un volum mare de cereri către un calculator, ducând la supraîncărcarea traficului şi la imposibilitatea serverului de a răspunde la alte cereri), atacuri smurf (atacuri cu pachete ICMP îndreptate asupra adresei broadcast a unei reţele) şi atacuri fraggle (atacuri cu pachete UDP îndreptate asupra adresei broadcast a unei reţele). 12

13 3.5. ANALIZA ATACATORILOR ŞI A NIVELURILOR DE ATAC Din punct de vedere al atributelor atacatorilor, în funcţie de resursele folosite, timpul şi instrumentele avute la dispoziţie sau de riscul asumat, am creat un profil al atacatorilor. În funcţie de obiectivele atacatorilor, atacurile au fost definite pe trei nivele: atacurile oportune, intermediare şi sofisticate. Atacul oportun este cel mai frecvent tip de atac şi este în mod tipic asociat cu un atacator de ocazie. Atacul intermediar are în mod tipic un obiectiv specific organizat. Un atacator ce execută un astfel de atac va executa acelaşi tipuri de scanări şi sondări ca şi atacatorul de ocazie, dar îşi va ascunde mult mai bine activitatea [64]. Atacul sofisticat are un obiectiv specific organizat şi poate afecta într un mod considerabil serviciile esenţiale [2]. Am clasificat aceste atacuri în funcţie de accesul la sistemele informatice STRUCTURA ŞI SEMANTICA UNUI ARBORE DE ATAC Am definit arborele de atac ca o metodă sistematică ce caracterizează securitatea sistemului informatic, caracterizare bazată pe diverse tipuri de atacuri. Am redefinit informaţia despre atacuri identificând modul de compromitere a securităţii sau a survivabilităţii unui sistem informatic ca rădăcina arborelui [79][77]. Arborele de atac se descompune în două feluri: un set de atacuri ţintă, toate trebuind să fie realizate pentru ca atacul global să aibă succes, ceea ce reprezintă o analiză AND; un set de atacuri ţintă, oricare din atacuri trebuind să fie realizat pentru ca atacul global să reuşească, ceea ce reprezintă o analiză OR [64]. Arborele de atac poate fi reprezentat grafic sau textual. Analiza AND este reprezentată astfel [64]: Grafic: G 0 Textual: Ţinta G 0 AND G 1 G 2 G 1 G 2... G n... G n Ţinta este G 0 şi poate fi obţinută dacă atacatorul obţine toate evenimentele de la G 1 până la G n. Analiza OR este reprezentată în mod similar [64]: Grafic: G 0 Textual: Ţinta G 0 OR G 1 G 2 G 1 G 2... G n... G n Ţinta este G 0 şi poate fi obţinută dacă atacatorul obţine oricare din evenimentele G 1, G 2,...,G n. Arborii de atac constau într o combinaţie de descompuneri AND şi OR. În general nodurile ţintă sunt adăugate la sfârşitul scenariului după cum sunt generate. Descompunerea OR duce la noi scenarii pentru a fi generate. Nodurile intermediare ale arborelui de atac nu apar în scenariile intruziunilor deoarece nu sunt elaborate la nivelele de jos [65]. Modul în care un atacator poate compromite sistemul este reprezentat iterativ şi incrementativ ca nodurile de jos ale arborelui CREAREA ARBORELUI DE ATAC PENTRU O ORGANIZAŢIE Am creat arborele de atac pentru o organizaţie ce îşi desfăşoară activitatea pe Internet. Rădăcina acestui arbore reprezintă compromiterea securităţii organizaţiei. În realizarea acestui arbore am ţinut cont atât de atacurile tehnologice, cât şi de atacurile psihologice şi sociale. 13

14 Arborele a fost dezvoltat din punct de vedere al existenţei a trei servere: de web, de FTP şi de e mail. Accentul a fost pus pe ramurile ce conţin cele trei servere Obţinerea accesului asupra serverului Web AND 1. Identificarea numelui domeniului organizaţiei 2. Identificarea adresei IP a serverului Web 3. Determinarea controlului de acces asupra serverului AND 1. Căutarea porturilor specifice deschise 2. Scanarea porturilor în general pentru orice port deschis 4. Identificarea sistemului de operare (SO) al serverului Web OR 1. Scanarea serviciilor pentru identificarea tipului SO 2. Probarea stivei TCP/IP pentru caracteristicile sistemului de operare 5. Exploatarea vulnerabilităţilor serverului Web OR 1. Exploatarea greşelilor de configurare ale serverului web 2. Exploatarea porturilor libere 3. Exploatarea codului sursă a site ului Fig Atacul asupra serverului web Pentru a se obţine accesul la un server Web, trebuie ca toate cele cinci scenarii reprezentate de cele cinci ramuri să fie îndeplinite, fiind o descompunere AND REALIZAREA MODELELOR DE ATAC PENTRU PERFECŢIONAREA ARBORILOR DE ATAC Am realizat modele de atac pentru principalele atacuri de pe Internet în vederea perfecţionării arborelui de atac. Un arbore de atac poate fi perfecţionat pornind de la compromiterea nodului rădăcină ca o combinaţie de extensii manuale şi modele de aplicaţii. Am creat modelul de atac buffer overflow, atacul ce poate rescrie anumite variabile locale, pointeri de întoarcere şi alte porţiuni a memoriei de adiacente. Un atacator poate face ca datele de intrare ale unui utilizator să schimbe pointerii de întoarcere pentru a returna un cod distructiv ales de atacator. Acest cod distructiv rulează la returnare cu privilegiile programului original. Dacă programul iniţial rula cu drepturi de administrator, atunci atacatorul obţine controlul total asupra calculatorului. Modelul de atac buffer overflow Scop: Exploatarea vulnerabilităţii buffer overflow pentru a rula funcţii distructive pe sistemul ţintă. Pre condiţii: Atacatorul poate executa anumite programe pe sistemul ţintă Atacul: AND 1. Identificarea programului executabil pe sistemul ţintă susceptibil de vulnerabilitatea buffer overflow; 2. Identificarea codului ce va rula funcţii distructive atunci când este executat cu privilegiile programului original; 3. Construirea valorilor de intrare ce vor forţa codul să fie în spaţiu adreselor de program; 4. Executarea programului într un mod ce l face să sară la adresa la care codul rezidă. Post condiţii: Sistemul ţintă a operat funcţii distructive. Fig Modelul de atac buffer overflow Alte modele de atac dezvoltate au fost modelul operatorului neprevăzut, modelul SQL Injection şi modelul RFI (Remote File Inclusion). 14

15 3.9. PERFECŢIONAREA ARBORILOR DE ATAC Un arbore de atac poate fi perfecţionat pornind de la compromiterea nodului rădăcină ca o combinaţie de extensii manuale şi modele de aplicaţii [64]. Pentru a ilustra aplicabilitatea unui model de atac pentru un nod intermediar al unui arbore de atac, s au aplicat modelele de atac Remote File Inclusion şi SQL Injection. Modelul rezultant, în care sistemul sub atac este serverul web al organizaţiei şi funcţia distructivă ce este executată oferă atacatorului acces la server, este prezentat în Fig Obţinerea accesului asupra serverului Web prin exploatarea codului sursă al site ului 1. Obţinerea accesului pe serverul web OR 1. Exploatarea vulnerabilităţilor PHP prin folosirea atacului SQL Inject AND 1. Căutarea script urilor PHP vulnerabile 2. Inserarea de cod PHP dăunător în cadrul formularelor 3. Executarea codului pe server 2. Exploatarea vulnerabilităţilor PHP prin folosirea atacului RFI AND 1. Căutarea script urilor PHP vulnerabile 2. Inserarea unui fişier infectat pe un server propriu 3. Includerea fişierului infectat în cadrul scriptului rulat pe serverul ţintă 4. Executarea scriptului pe server 2. Scanarea fişierelor serverului web cu drepturi de administrator Fig Perfecţionarea arborelui de atac cu atacul SQL Injection şi RFI Fig reprezintă perfecţionarea ramurei , ramură ce reprezintă pentru un atacator obţinerea accesului asupra serverului web prin exploatarea codului sursă al site ului. 15

16 METODE DE ASIGURARE A SECURITĂŢII INFORMAŢIILOR 4.3. CRIPTOGRAFIA Am prezentat noţiunile de bază din domeniul criptografiei. Am descris algoritmii folosiţi în criptarea simetrică şi publică, procesul de autentificare prin Kerberos V5 şi SSL/TLS. Algoritmii cu cheie secretă sunt caracterizaţi de faptul că folosesc aceeaşi cheie atât în procesul de criptare, cât şi în cel de decriptare [74]. Din acest motiv, aceşti algoritmi mai sunt cunoscuţi sub numele de algoritmi simetrici. Criptarea asimetrică este caracterizată de faptul că în procesele de criptare şi decriptare sunt folosite chei diferite; una publică şi una privată [74]. Această caracteristică a dat algoritmilor cu cheie publică şi numele de algoritmi asimetrici. Fig Criptarea asimetrică Am analizat semnătura digitală şi certificatul digital. Semnătura digitală ajută la identificarea şi autentificarea utilizatorilor în cazul unei comunicări prin Internet [70]. Certificatele digitale pot oferi un nivel ridicat de încredere asupra faptului că persoana al cărei nume apare pe acel certificat are ca şi corespondent o anumită cheie publică [70] CANALE DE COMUNICAŢII SECURIZATE Am analizat canalele de comunicaţii securizate ce asigură comunicaţiile criptate dintre calculatoare. Programul descris este SSH (Secure Shell), program prin care se realizează o legătură securizată şi se pot executa comenzi de la distanţă. Pachetul SSH este compus dintr 16

17 un program server SSHD, un program client SSH şi încă câteva utilitare pentru manevrarea cheilor de criptare STANDARDUL S/MIME Am tratat standardul S/MIME (Secure/Multipurpose Internet Mail Extensions) ce oferă soluţii de securizare în trimiterea de mesaje într o reţea de calculatoare. Standardul S/MIME (Secure/Multipurpose Internet Mail Extensions) oferă soluţii de securizare în trimiterea de mesaje într o reţea de calculatoare. S/MIME rezolvă problema integrităţii mesajului, verificării acestuia şi problema nerepudierii prin utilizarea semnăturilor digitale [12] REŢELE VIRTUALE PRIVATE Am analizat reţeaua privată virtuală VPN şi strategiile de implementare, modul de funcţionare al protocolului IPSec şi protocoalele complementare acestuia. O reţea privată virtuală (VPN) asigură o modalitate de stabilire a unor comunicaţii securizate prin intermediul unei reţele nesigure. Cu ajutorul unei conexiuni VPN, cele două părţi ale unei conexiuni pot comunica în condiţii de siguranţă similare unei reţele locale ANALIZA PROGRAMELOR ANTIVIRUS Am studiat programele antivirus şi criteriile de alegere ale unui antivirus performant. Am prezentat clasamente ale celor mai cunoscute programe antivirus din punct de vedere a ratei de detecţie a noilor malware, a ratei de alarme false şi a vitezei de scanare a sistemului STUDIU ASUPRA PROGRAMELOR FIREWALL Am realizat o clasificare a programelor firewall în funcţie de nivelul OSI la care operează: de filtrare (nivelul reţea), porţi de circuit (nivelul transport), intermediare (nivelul aplicaţie) şi cu inspecţie multinivel, program ce combină caracteristicile celorlalte firewallurilor, filtrând traficul la toate cele trei nivele (reţea, transport şi aplicaţie). Am pus accentul pe cele mai întâlnite programe firewall: de filtrare şi intermediare. Un firewall de filtrare execută filtrarea traficului dintre reţeaua locală şi Internet, blocând accesul anumitor elemente care pot reprezenta factori de risc pentru reţea. Pachetele IP ce pătrund în firewall sunt filtrate printr un set de lanţuri ce definesc operaţiile ce se aplică pachetului. Fig Filtrarea pachetelor Un firewall intermediar nu permite trecerea directă a nici unei categorii de trafic, ci se comportă ca un interpus între Internet şi calculatoarele din reţeaua internă [36]. Programul firewall execută el însuşi unele dintre serviciile de reţea. În acest sens este un reprezentant intermediar pentru sistemele care execută cererea Propuneri privind realizarea unui program firewall IPTABLES Sistemul Linux are implementat un program firewall la nivel de nucleu, customizabil în funcţie de nevoile utilizatorilor, numit IPTABLES. Am realizat un program firewall IPTABLES ce filtrează traficul dintre Internet şi o reţea locală. 17

18 Fig Folosirea programului IPTABLES ca firewall Sistemul Linux are configurate servere de web, FTP şi e mail, servere ce vor fi puse la dispoziţia utilizatorilor de pe Internet. Programul firewall protejează atât reţeaua locală cât şi calculatorul local cu cele trei servere instalate Îmbunătăţirea unui firewall IPTABLES Pentru îmbunătăţirea unui firewall IPTABLES am propus următoarele sugestii: reducerea numărului de reguli, utilizarea sub lanţurilor, lucrul cu fragmente, folosirea opusului unei reguli, folosirea tuturor interfeţelor, blocarea conexiunilor, folosirea limitării şi folosirea tipurilor de tabel. 18

19 ANALIZA SURVIVABILITĂŢII UNUI SISTEM INFORMATIC 5.1. DEFINIŢIA SURVIVABILITĂŢII Am definit conceptul de survivabilitate ca fiind capacitatea unui sistem de a şi îndeplini misiunea, într un interval de timp stabilit, în prezenţa atacurilor, defectărilor sau accidentelor. Am definit sistemele survivabile, proprietăţile acestora şi elementele principale ale survivabilităţii. Tehnica analizei survivabilităţii unui sistem informatic este utilă în definiţia cerinţelor, specificaţiilor de sistem şi a arhitecturii sistemului METODA DE ANALIZARE A SURVIVABILITĂŢII UNUI SISTEM INFORMATIC Metoda de analizare a survivabilităţii unui sistem informatic permite o evaluare sistematică a proprietăţilor survivabilităţii sistemelor şi a modificărilor sistemelor existente. Această metodă de analizare a survivabilităţii se face în 4 paşi: Definirea sistemului, Definirea capacităţilor esenţiale, Definirea capacităţilor vulnerabile şi Analiza survivabilităţii MODELUL DE EVALUARE A SURVIVABILITĂŢII UNUI SISTEM INFORMATIC Am prezentat modelul dezvoltat de Soumyo D. Moitra şi Suresh L. Konda pentru calculul survivabilităţii unui sistem informatic, cu cele trei sub modele ale sale. Primul submodel simulează apariţia atacurilor sau incidentelor, al doilea sub model simulează impactul unui atac asupra sistemului şi al treilea sub model evaluează survivabilitatea sistemului ce depinde de gradul de degradare al sistemului în urma atacului Evaluarea survivabilităţii Survivabilitatea este gradul până la care un sistem poate să suporte un atac şi să poată funcţiona la un anumit nivel în noua sa stare după atac. Această nouă stare s este în general o stare compromiţătoare şi reprezintă starea în care un sistem se opreşte înainte de o recuperare completă până la starea lui normală [26]. La un nivel conceptual survivabilitatea poate fi măsurată ca relaţia 5.15: nivelul de performant ã la starea s a sistemului SURV = (5.15) nivelul normal de performant ã a sistemului În cazul sistemelor de calculatoare diversele servicii şi funcţionalităţi pot fi considerate separat şi evaluarea poate fi realizată ca o extindere a oricărei funcţii ce a supravieţuit în noua stare a sistemului după atac. Fie φ(s,k) gradul până la care serviciul compromis k a supravieţuit în starea s şi fie w(k) nivelul de importanţă a serviciului k în 19

20 cadrul misiunii sistemului. Atunci o posibilă măsurătoare a survivabilităţii ar putea fi sub forma următoare: SURV(s)= w(k)* φ(s,k) (5.16) k Acest lucru prezintă că un set complet de stări a sistemului {S} a fost definit şi se poate evalua φ(s,k) pentru fiecare s şi k [62]. Starea {S} poate fi {normală, sub atac, compromisă, în curs de recuperare, ne funcţională}. Atunci φ(s,k) poate fi media nivelului până la care funcţiile şi serviciile k supravieţuiesc în toate stările s. Este o aproximare estimativă şi poate fi aplicată în multe situaţii. De exemplu, poate fi un serviciu particular ce joacă un rol foarte important într o organizaţie. Datorită importanţei mari a serviciului respectiv, survivabilitatea acestuia poate fi scăzută chiar dacă sistemul este uşor compromis. În cazul în care mecanismul de securitate ce protejează acest serviciu oferă o survivabilitate ridicată, atunci beneficiul adus este mare. În caz contrar, dacă mecanismul de securitate oferă o survivabilitate scăzută atunci beneficiul este foarte mic sau inexistent. Acesta este un criteriu de aproximare standard pentru evaluarea survivabilităţii. Importanţa w(k) îndeplineşte condiţia: 0 w(k) 1 şi [ w ( k )] = 1 (5.17) k Funcţia φ(s,k) este cuprinsă în intervalul [0,1]: 0 φ(s,k) 1. În acest caz SURV(s) va fi cuprinsă în intervalul [0,1], unde 0 reprezintă eşec total iar 1 reprezintă o stare normală REALIZAREA UNUI SISTEM E LEARNING PE O MAŞINĂ VIRTUALĂ Am prezentat conceputul maşinii virtuale ca soluţie pentru îmbunătăţirea survivabilităţii sistemului informatic. O maşină virtuală este definită ca un duplicat eficient şi izolat al unei maşini reale [29]. Utilizările tipice pentru o maşină virtuală sunt dezvoltarea şi testarea de noi sisteme de operare, rularea în paralel a mai multor sisteme de operare, testarea şi depanarea serverelor. Mediul virtual oferit de maşinile virtuale este creat de VMM (Virtual Machine Monitor). VMM ul poate crea una sau mai multe maşini virtuale pe o singură maşină reală. Sunt două tipuri de VMM: tipul I: maşina virtuală este implementată între hardware şi sistemul de operare. tipul II: VMM ul este implementat normal ca un proces pe sistemul real de operare [48]. Maşinile virtuale Xen şi VMware ESX Server sunt maşini virtuale de tipul I, în care VMM ul este implementat între hardware şi sistemul de operare al maşinii reale. Fig Maşina virtuală de tip I Fig Maşina virtuală de tip II Cele mai multe maşini virtuale precum VMware Workstation, Virtual PC sau QEMU fac parte din categoria maşinilor virtuale de tipul II, în care VMM ul este implementat ca un proces pe sistemul de operare al maşinii reale. 20

21 Maşina virtuală aleasă pentru testare este VMware. Am prezentat procesul de configurare a maşinii virtuale pentru îmbunătăţirea performanţelor acesteia Instalarea şi configurarea maşinii virtuale După instalarea sistemului de operare, maşina virtuală recomandă, pentru 2 GB de memorie pentru sistemul real, utilizarea a 384 MB de memorie pentru sistemul virtual [86]. Pentru performanţe îmbunătăţite ale rulării sistemului de operare virtual, am schimbat această valoare de 384 MB la 512 MB de memorie utilizată. Fig Îmbunătăţirea memoriei alocate maşinii virtuale Reţeaua maşinii virtuale VMware Workstation poate fi configurată în mod NAT sau Bridge. NAT este setarea prin care sistemul virtual va primi prin DHCP un IP de la maşina virtuală, iar acest IP va fi scos în Internet printr un router virtual. În sistemul Bridge este ca şi cum maşina virtuală ar fi în acelaşi switch cu maşina fizică, astfel încât trebuie setat un IP din aceeaşi clasa de IP uri [85] Realizarea sistemului e learning Am realizat un sistem e learning pentru testarea teoriei propuse. Sistemul e learning este structurat pe trei module principale: modulul de administrare, modulul pentru profesori şi modulul pentru studenţi. Sistemul prezentat este dezvoltat pe o bază de date MySQL, baza de date fiind creată cu ajutorul aplicaţiei PHPMyAdmin. Fig Structura bazei de date a sistemului e learning 21

22 Baza de date a aplicaţiei este formată din 8 tabele (Fig. 5.11): admins, intrebari, materie, profesori, rezultate, settings, studenti şi teste. Structura conceptuală a bazei de date este prezentată în Fig Fig Structura conceptuală a bazei de date În Fig sunt prezentate cele 8 tabele: admins, intrebari, materie, profesori, rezultate, settings, studenti şi teste cu structura corespunzătoare şi legăturile dintre acestea Conectarea, selectarea şi utilizarea bazei de date PHP include o bibliotecă de funcţii care furnizează o interfaţă cu sistemul MySQL de gestiune a bazelor de date. Folosind aceste funcţii, un program PHP poate obţine accesul la datele rezidente într o bază de date MySQL şi le poate modifica Realizarea modulului de administrare În cadrul modulului de administrare se pot adăuga administratorii platformei, profesorii, studenţii, materiile şi se pot edita setările platformei de e learning. Autentificarea administratorilor se face din modului de administrare (/admin), în care trebuie introduse numele utilizatorului şi parola corespunzătoare. Fig Autentificarea în modulul de administrare 22

23 Datele introduse în acest formular sunt trimise spre procesare la un fişier admin.php Realizarea modulului pentru profesori La fel ca administratorii, profesorii au acces la un panou de administrare personal, de unde pot adăuga întrebările pentru teste la materiile la care sunt titulari şi pot vizualiza rezultatele obţinute de studenţi la examenele on line Realizarea modulului pentru studenţi Modulul pentru studenţi permite vizualizarea platformelor de laborator şi susţinerea on line a examenelor. Fig Panoul de autentificare al studenţilor După autentificare, studentul poate vizualiza platformele aferente de laborator şi la sfârşitul semestrului poate susţine examenele la materiile corespunzătoare Configurarea serverului web pentru aplicaţia e learning Întrucât rularea platformei e learning nu presupune setări suplimentare a serverului web Apache, am ales instalarea pachetului WAMP5, un software ce instalează automat Apache Web Server, PHP5, baza de date MySQL, PHPmyadmin şi SQLitemanager. Directorul în care trebuie pusă aplicaţia e learning este situat în directorul în care a fost instalat serverul Wamp: C:\Program Files\wamp\www. După ce fişierele aplicaţiei au fost puse în directorul www, am creat baza de date cu ajutorul aplicaţiei phpmyadmin ANALIZA IMPACTULUI ATACURILOR CE VIZEAZĂ MAŞINA VIRTUALĂ ASUPRA SISTEMULUI REAL În acest subcapitol am analizat securitatea sistemului virtual şi impactul atacurilor ce vizează maşina virtuală asupra sistemului real. Am considerat M numărul total de mecanisme de protecţie de pe sistemul virtual. Protecţia maşinii virtuale va fi asigurată de un număr de 4 mecanisme de protecţie: asigurarea protecţiei contra atacurilor de tip virus, troieni şi viermi printr un program antivirus; asigurarea protecţiei contra atacurilor de tip troieni, viermi şi Denial of Service printr un program firewall, securizarea serverului web şi securizarea aplicaţiei web împotriva atacurilor specifice de pe Internet. 23

24 Studiul impactului viruşilor asupra sistemului real după compromiterea sistemului virtual Pentru a realiza un test al detecţiei programului antivirus am avut la dispoziţie mai multe fişiere ce conţineau malware. Le am grupat în patru directoare în funcţie de data la care au apărut. În urma scanării şi executării fişierelor din cele 4 directoare, s au obţinut rezultatele prezentate în Fig 5.3. Rata de detectie 100% 98% 96% 94% 92% 90% 88% 86% 84% 82% 80% Sensibilitate medie Sensibilitate maxima Executie Fig Ratele de detecţie obţinute pentru cele patru directoare Rata de detecţie pentru un antivirus a fost de 99,91%. Conform testelor realizate cu 5 programe antivirus: Avast, AVG, Avira, Norton şi Kaspersky, rata medie de detecţie este de 99,53%. Sistemul real poate fi infectat doar în cazul viruşilor de fişiere şi de macro uri în condiţiile folosirii fişierelor partajate între cele două sisteme. Probabilitatea de infecţie a sistemului real este de 0,47%, în condiţiile în care se lucrează cu fişierele partajate între cele două sisteme. În condiţiile în care nu se partajează directoare sau fişierele partajate nu sunt accesate în cadrul maşinii reale, probabilitatea de infectare a sistemului real scade la 0% Studiul impactului troienilor asupra sistemului real după compromiterea sistemului virtual Atacurile cu troieni au fost realizate conform arborilor de atac dezvoltaţi în capitolul III. Am testat programul firewall cu câţiva troieni şi rezultatul a fost că orice conexiune iniţiată de troieni a fost interceptată şi stopată de programul firewall (Fig. 5.53). Fig Blocarea conexiunilor de către programul firewall ZoneAlarm 24

25 Infectarea sistemului real este posibilă doar în cazul atacului cu troieni de tip backdoor, probabilitatea acestora de a infecta sistemul fiind de 1,25%. În condiţiile în care avem un firewall ce monitorizează orice conexiune ce se iniţiază, această probabilitate scade simţitor. Vulnerabilităţile maşinii virtuale ce au putut fi exploatate au fost la directoarele partajate între cele două sisteme. În condiţiile în care s ar renunţa la partajarea directoarelor, probabilitatea de infectare a sistemului real tinde către 0% Studiul impactului viermilor asupra sistemului real după compromiterea sistemului virtual Singurii viermi ce pot afecta sistemul real sunt viermii de Internet şi viermii de fişiere partajate. Viermii de fişiere partajate pot afecta sistemul real în acelaşi procent ca şi viruşii. Probabilitatea în care viermii de Internet ar putea afecta sistemul real este analizată în funcţie de modul de conexiune la reţea al maşinii virtuale. Tabel Concluziile privind posibilitatea infectării sistemului real cu troieni Posibilitatea de infectare Probabilitatea Tipul de viermi a sistemului real pt. M=1 (antivirus) viermi de e mail NU 0% viermi de mesagerie instantanee NU 0% viermi de Internet DA 0,23% viermi de IRC NU 0% viermi de fişiere partajate în reţea DA 0,47% În cazul în care am avea instalat un program antivirus şi am ataca sistemul virtual cu viermi informatici, probabilitatea ca aceştia să infecteze şi sistemul real este de 0,47% în cazul viermilor de fişiere şi de 0,23% în cazul viermilor de Internet, probabilitatea înjumătăţindu se faţă de primul caz datorită metodei de conectare a maşinii virtuale la reţea (într unul din cazuri maşina reală fiind mascată) Studiul impactului atacului DoS asupra sistemului virtual şi celui real Am creat un atac DoS de tip packet flood asupra maşinii virtuale în cazul în care conexiunea de reţea este NAT. Fig Captura de trafic în condiţii de atac DoS 25

26 Timpul mediu de încărcare al platformei e learning în condiţiile unui atac DoS mediu a fost de 1, secunde, cu 0, secunde mai mult faţă de timpul de încărcare al platformei în condiţii normale. Cum maşina virtuală şi maşina reală au partajat acelaşi IP, rezultă că, în acest caz, maşina reală a fost afectată de atacul DoS. În cazul în care conexiunea de reţea este bridged, lăţimea de bandă a fost împărţită în două: jumătate pentru maşina virtuală şi jumătate pentru maşina reală. La teste banda de reţea alocată IP ului maşinii virtuale a fost ocupată în întregime, în timp ce banda alocată IP ului maşinii reale a fost liberă. Tabel Efectele atacului DoS asupra maşinii reale Conexiunea de reţea a maşinii virtuale Efecte atac DoS asupra maşinii virtuale Efecte atac DoS asupra maşinii reale NAT DA DA Bridged DA NU Am desprins concluzia că dacă ambele maşini partajează acelaşi IP şi un atac de tip DoS este îndreptat către maşina virtuală, maşina reală este afectată în aceeaşi măsură. Dacă maşina virtuală are altă adresă IP faţă de cea reală, în condiţiile unui atac de tip DoS îndreptat către maşina virtuală, maşina reală nu este afectată STUDIUL SURVIVABILITĂŢII SISTEMULUI E LEARNING Am studiat survivabilitatea sistemului e learning folosind modelul dezvoltat de Soumyo D. Moitra şi Suresh L. Konda [62]. Pentru o analiză a parametrului τ (timpul desfăşurat între incidente) cât mai realistă, vom cerceta datele privind incidentele raportate la varianta on line a platformei e learning create: laboratory.net. Conform datelor obţinute din panoul de administrare, traficul înregistrat în decursul anului 2011 pe această platformă este prezentat în Fig Se observă că traficul este ridicat în perioadele semestrului, scăzând semnificativ în perioadele de vacanţă ale studenţilor. Fig Traficul înregistrat în 2011 pe platforma e laboratory.net Datorită caracterului izolat al incidentelor apărute asupra platformei, în simulările realizate pe aceeaşi platformă am considerat că sistemul se va recupera în întregime în urma unui incident. Astfel, starea iniţială a sistemului r va fi întotdeauna 1. 26

27 Rezultatele simulării Interesul este de a calcula survivabilitatea sistemului e learning atunci când acesta este ţinta unor incidente. Acest lucru depinde atât de severitatea nivelului atacului cât şi de nivelul de securitate instalat în sistem. Survivabilitatea maşinii reale în funcţie de gravitatea incidentului este prezentată în tabelul cost(m) Tabel Variaţia survivabilităţii ambelor maşini în funcţie de P(j) maşina virtuală P(1)=0,1 P(1)=0,5 P(1)=0,9 maşina reală maşina virtuală maşina reală maşina virtuală maşina reală 5 0,7523 0,7698 0,7121 0,7202 0,675 0, ,7852 0,8051 0,7479 0,7578 0,7056 0, ,8112 0,8384 0,7708 0,7869 0,7328 0, ,8445 0,8837 0,7982 0,8261 0,7541 0, ,8508 0,8986 0,8184 0,8549 0,7724 0, ,8711 0,9314 0,8331 0,8816 0,808 0,8517 În Fig se poate observa survivabilitatea crescută a maşinii reale faţă de maşina virtuală. Fig Variaţia survivabilităţii ambelor maşini în funcţie de P(j) Survivabilitatea creşte odată cu costul mecanismelor de protecţie şi scade o dată cu creşterea probabilităţii de apariţie a incidentelor grave. Cu cât incidentele sunt mai puţin grave, cu atât survivabilitatea maşinii reale este mai ridicată faţă de survivabilitatea maşinii virtuale. Dacă incidentele sunt mai grave, diferenţa dintre survivabilitatea maşinii reale faţă de cea a maşinii virtuale nu este foarte mare. Se observă totuşi că, indiferent de gravitatea incidentului, survivabilitatea maşinii reale este întotdeauna mai mare decât survivabilitatea 27

28 maşinii virtuale. Cu cât costul mecanismelor de protecţie este mai ridicat, cu atât diferenţa dintre survivabilitatea celor două maşini este mai mare Analiza simulării În simularea realizată se observă variaţia survivabilităţii în funcţie de costurile mecanismelor de securitate şi de probabilitatea de apariţie a unui incident grav. Cu cât probabilitatea ca un incident e sa fie mai mare, cu atât survivabilitatea este mai mică. Calculând survivabilitatea maşinii reale, aceasta este mai mare decât survivabilitatea maşinii virtuale. Diferenţa dintre survivabilitatea maşinii reale faţă de cea a maşinii virtuale este mai mare cu cât gravitatea incidentelor este mai mică. Cu cât costul mecanismelor de protecţie este mai ridicat, cu atât diferenţa dintre survivabilitatea celor două maşini este mai mare. Cu datele din această simulare se poate face raportul survivabilitate versus cost pentru a se obţine un nivel efectiv al securităţii. În Fig se punctează survivabilitatea în raport cu costul la P(1)=0.5, prezentânduse relaţia dintre cost şi survivabilitate. Cu cât costul creşte, survivabilitatea creşte rapid la început şi apoi mai încet. Fig Survivabilitate versus cost Când survivabilitatea nu este critică se poate alege un punct scăzut pe curba graficului, dar când survivabilitatea este critică este necesar să se aleagă un punct ridicat pe curbă. În cazul în care curba de indiferenţă poate fi estimată, putem alege un punct optim de pe curbă. Totuşi, când scopul nu este situaţia optimă, se poate folosi curba pentru a găsi cel mai potrivit punct în schimbul dintre cost şi survivabilitate. 28