istoria info
Post on 28-Dec-2015
29 Views
Preview:
TRANSCRIPT
1
Istoria si evolutia securitatii in informatica
Student:
Adriana Adam
Gr:235
2
Contents
1. Inceputurile securitatii in informatica ....................................................................................................... 3
2. Anii 1970 - Mainframe-uri ........................................................................................................................ 4
3. Anii 1980 - Computerele personale .......................................................................................................... 5
4. Anii 1990 - Internetul ................................................................................................................................ 7
5. Anii 2000 - Web ........................................................................................................................................ 8
6.Concluzie ................................................................................................................................................. 11
Bibliografie: ................................................................................................................................................ 12
3
1. Inceputurile securitatii in informatica
Provocarile in securitate apar atunci cand tehnologiile noi sau mai vechi sunt puse in utilizare.
Primele calculatoare electornice au fost construite in anii 1940 (EDVAC, ENIAC) si au fost
folosite in mediul academic sau in diferite organizatii si agentii guvernamentale. Securitatea in
domeniul informaticii isi are originile in anii 1960. Findca au aparut sistemele multiutilizator a
fost nevoie de mecanisme pentru a proteja sistemul de utilizatorii lui si de a proteja utilizatorii
fata de ceilalti.
La inceputul anilor 1970 a inceput cercetarea pentru securitatea in informatica, astfel ca s-au
elaborat doua rapoarte care vor reprezenta startul in securitatea in informatica. Acestea sunt:
1. Raportul RAND elaborat de Willis Ware rezuma fundatiile tehnice de securitate in
informatica care existau pana la sfarsitul anilor 1960. De asemenea in raport a existat o
analiza detaliata a cerintelor de protectie a informatiilor clasificate din sectorul de
aparare a SUA.
2. Raportul Anderson a aparut la scurt timp dupa raportul RAND si acesta a stabilit un
program de cercetare pentru proiectarea de sisteme informatice sigure tot pentru a proteja
informatiile clasificate.
Atunci a inceput sa apara dependenta de calculator ca fiind un instrument de prelucrare a datelor
si de luare a deciziilor in zone functionale sensibile. Prelucrarea automata a datelor a dus la
apatitia unor sisteme complexe de partajare a resurselor informatice ce ofera utilizatorilor
posibilitatea pentru schimbul de date cu alti utilizatori.
Foto1: EDVAC- printre primele calculatoare electornice (1944)
4
Avand in vedere ca din anii 70 tehnologiile au inceput sa se dezvolte, in acest referat am facut un
cuprins bazat pe 6 capitole. Capitolul 1 fiind introducerea, urmand ca in capitolele 2,3,4,5 sa
prezint cele 4 decenii de activitate in istoria informaticii, sa caracterizez tehnologiile de la acele
timpuri, problemele intampinate in securitate si gasirea de solutii pentru acele probleme,
urmand sa inchei cu concluzie.
2. Anii 1970 - Mainframe-uri
Proiectarea discului de memorie de la IBM a oferit o capacitate de memorare cuprinsa intre 35-
70 megaocteti, si au facilitat prelucrarea unor mari cantitati de date pentru acea vreme.
Mainfram-urile au fost utilizate in special in departamentele guvernamentale si in cele
comerciale de mari dimensiuni. Dupa cum am precizat si mai sus, sectorul de aparare a vazut
beneficiile potentiale ale utilizarii calculatoarelor, dar informatiile clasificate trebuie sa fie
prelucrate in siguranta. Acest lucru a condus US AirForce sa creeze un grup de studiu, astfel ca
au raportat constatrile in raportul Anderson.
Foto2: IBM 7094, un calculator mainframe
Programele de cercetare generate de raaportul Anderson au dezvoltat un model de stat formal
pentru politicile de securitate pe mai multe nivelele, care reglementeaza accesul la date
clasificate.
Un asflel de model este modelul Bell-LaPadula (BLP), a fost utilizat pentru accesul la aplicatiile
guvernamentale si militare. A fost dezvoltat de catre David Elliot Bell si Leonard J. Lapadula.
Modelul descie un set de reguli de control al accesului care folosesc etichete de securitare pe
obiecte si autorizatii pentru subiecte. Etichetele se securitate variaza de la cele mai sensibile de
exemplu ("Top Secret"), pana la cele mai putin sensibile ("neclasificat", "public").
Un alt proiect este proiectul Multics(Multiplexed Information and Computing Sevice).
Realizarea lui a inceput in 1964 si a fost activ pana la 30 octombri 2000 la departamentul de
aparare nationala din Halifax Canada. Proiectul a dezvoltat un sistem de operare, iar securitatea
a fost unul dintre principalele sale obiective.
5
Prelucrarea datelor cu caracter personal (neclasificate dar sensibile) cu privire la cetatenii din
departamentele guvernamentale, au fost procesate si inainte dar acum cu ajutorul maifram-urilor
prelucrarea datelor la o scara mult mai mare a devenit o posibilitate. De asemenea a ajutat la
faptul ca persoanele ramaneau nedetectate atunci cand se incerca intrarea in sistem fara
autorizatie. Din acest motiv s-au dezvoltat un numar de mecanisme de protectie cum ar fi
mecanismele de control de acces in sistem.
Un alt mecanism este criptarea datelor, care asigura protectia cea mai cuprinzatoare pentru datele
stocate in memoria calculatorului. IBM a prezentat un algoritm de criptarea (ce a fost emis de
catre Biroul Federal al SUA), acest algoritm a devenit cunoscut sub numele de Data Encryption
Standard. Algorimul a fost controversat la inceput si a fost analizat de multi specialisti in
domeniu. Azi algorimul este considerat nesigur pentru ca foloseste principiul cheii de 56 de biti
care este considerata prea scurta. Cu toate aceste dupa dezvoltarea algoritmului a inceput discutia
desprea algoritmi de sortare si astfel criptografia a devenit o disciplina academica.
Cercetarea pe criptografie a atins de atunci un nivel ridicat de maturitate, in 1990 SUA de decis
sa actualizeze algoritmul si astfel s-a ajuns la Advanced Encryption Standard.
3. Anii 1980 - Computerele personale
La inceputul anilor 1980 miniaturizarea si integrarea componentelor calculatoarelor a ajuns la
stadiul in care acestea nu mai sunt necesare pentru a fi masini mari adapostite in camere speciale,
ci au fost suficient de mici pentru a incapea pe un birou.
Aceasta noua inovatie PC- personal computer a schimbat in mod direct accentul de securitate
informatica in tipul acelor ani. Apple in 1984 isi lanseaza celebrul Macintosh, primele aplicatii
au fost editoare de text si programe de calcul tabelar. Pentru multi experti in securitate
dezvoltarea anilor 1980 a dus la sisteme mai putin protejate.
Foto3: Macintosh (1984)
6
In anii 1987 si 1989 au existat doua modele de integritate si anume, modelul Clark-Wilson si
modelul Chinese Wall care ofera o baza pentru specificarea su analiza politica de integritatea
pentru un sistem de calcul. Clark si Wilson prezinta tranzactii bine formate si separarea
atributiilor in doua principii de proiectare pentru securizarea sistemelor comerciale, iar modelul
Chinese Wall a fost inspirat din cerinta pentru a preveni conflictele de interes in afacerile de
consunltanta financiara.
O schimbare mai putin vizibila a avut loc in dezvoltarea arhitecturii de procesoare(Intel 80286,
Intel 80386). Anii 1980 au adus si primii viermi si virusi iar atacarea sistemelor informatice a
devenit vizibil la un public mai larg.
In acest deceniu au existat mai multe incidente de atacare a sistemelor informatice ce au dus la
condamnari in instanta de judecata, cel mai cunoscut atac este:
Viermele de internet din 1988 a exploatat o serie de vulnerabilitati cunoscute, cum ar fi
forta bruta in ghicitul parolei pentru autentificarea de la distanta, configuratii rele, buffer
overflow. Viermele a patruns in 5-10% din calculatoarele ce erau conectate la Internet,
aproximativ 60.000 de masini la acel timp. Cercetatorii au atacat viermele prin mai multe
metode:
dezasamblarea lui si intelegerea instructiunilor din care era compus
au creat masini capcana pe care sa le infecteze pentru a inregistra detalii despe
cea ce se petrecea cu ele
au creat masini mutant pentru a le parazita partial, cu scopul de a descoperi care
sunt serviciile de care are nevoie viermele pentru a se multiplica
Viermele nu efectua actiuni distructive (stergerea de fisiere), singurul efect negativ provenea din
faptul ca masinile erau in mod repetat infectate si nu faceau altceva decat sa execute copii ale
viermelui.
A fost descoperit ca viermele a fost creat si lansat de catre un student la doctorat la Universitatii
Cornell pe nume Robert Tappan Morris. El a fost condamnat la 3 ani de inchisoare cu suspendare
pentru fapta sa. Acum el este profesor la MIT si lucreaza in domeniul retelelor de calculatoare.
Virusul Ghostball descoperit de Fridrik Skulason in octombrie 1989, infecteaza atat
executabilele .Com ale fisierelor si sectoarele de boot pe sisteme MS-DOS. In general
afecteaza productivitatea computerului , reduce nivelul de securitate al calculatorului dar
nu se raspandeste in mod automat de unul singur.
7
Foto 4: Tipuri de softuri malitioase
4. Anii 1990 - Internetul
Anii 1990 nu sunt anii in care a fost creat internetul ci anii in care noua tehnologie a devenit mai
diponibila si pentru ca Internetul a fost deschis si pentru uz comercial in 1992. World Wide Web
si browserele web au creat o noua experienta de utilizare a computerului si au facilitat o serie
intreaga de noi aplicatii.
Internetul esteun sistem de comunicatii astfel securitatea pe Internet a fost initial echivalat cu
securitatea comunicatiilor, dat acesta rezolva doar problema cea mai simpla si anume protejarea
datelor in tranzit. Acesta a fost un inceput clar cum ca problemele reale se gasesc in alta parte.
Conectarea unei masini la Internet are doua ramificatii majore:
proprietarul sistemului nu mai controleaza cine poate trimte intrari catre masina lui
proprietarul sistemului nu mai controleaza ce intrari pot fi trimise catre masina lui
Prima observatie exclude controlul traditional de acces pe baza de identitate ca fiind un
macanism de protectie viabil. A doua observatie arata un nou tip de atac care este descris de
Aleph One in lucrarea "Smashing the Stack for Fun and Profit" (1996). Alepsh descrie cum un
atacator poate trimite intentionat intrari malformate la un port deschis pe o masina care va
provoca "buffer overrun" adica depasirea la o zona de tampon si astfel se transfera codul shell
introdus de atacator.
8
Modelul de securitate Java abordeaza ambele probleme.
Privilegiile sunt atribuite in functie de originea codului si
nu in functie de identitatea utilizatorului care ruleaza un
program. Ca un limbaj de tip sigur, Java ofera garantii de
securitate in ceea ce priveste memoria care impiedica
depasirile tampon.
Odata cu cresterea abrupta a numarului de vulnerabilitati
exploatabile de care vorbeste Aleph in lucrarea lui plus
existenta posibilitatii transmiterii virusurilor folosind
emailul a fost fondata "Trusted Computing Platform Alliance " in 1999 de catre Microsoft, Compaq, HP,
IBM si Intel cu scopul de "a facce web-ul un loc mai sigur pentru a naviga"
Foto 5: World Wide Web
Progresele in grafica au transformat calculatorul intr-un loc de divertisment la domicilie pentru jocuri,
video, muzica, filme si nu numai. Astefel Internetula devenit un nou canal de distributie atractiv pentru
firmele care ofera astfel de tipuri de divertisment, dar s-au condruntat cu o serie de probleme in legatura
cu copiere produselor distribuite pe Internet.
Pentru a proteja produselor impotriva copierii lor in securitatea calculatoarelor Managementul Drepturilor
Digitale (Digital Rights Management- DRM) a adus o intorsatura pentru acest control. DRM impune
polita de securitate a unei parti externe impotriva actiunilor de catre proprietarul sistemului.
Prin intremediul Internetului atacurile au ajuns de la o posibilitate la un fapt. Astfel ca firewall-ul a
devenit o componenta comuna in securitatea arhitecturii de retea. Aparitia atacurilor pe internet au dus la
o reconsiderare a principiilor de inginerie care stau la baza proiectarii de protocoale cripotografice.
Astazi protocoalele sunt concepute pentru a echilibra volumul de munca intre inittiator si victima, astfel
incat atacatorul ar trebui sa cheltuie acelasi efort de calcul, la fel ca victima.
5. Anii 2000 - Web
Cand vorbim despre web, exista doua parti:
tehnologia folosita: browser-ul este principala componenta software a clientului care
gestioneaza interactiunea cu serverele si afiseaza paginile pentru acesta; HTTP ca si
protocol de comunicare la nivel aplicatie; HTML- pentru date; client-side, server-side
limbaje de scripting pentru interactiuni dinamice; WLAn si telfoane mobile.
Utilizatorii web: clientii pentru serviciile oferite de furnizorii.
O mare crestere a avut loc odata cu venirea anilor 2000 si anume cresterea bazei de date a
utilizatorilor. Dupa ce utilizatorii au avut acces la internetul pe mobil, multe companii au
interactionat direct cu clientii acestora, astfel eliminand intermediarii si alte tranzactii inutile.
In sectorul turismului companiile aeriene au fost primele care au oferit posibilitatea rezervarii de
bilete online. Biletele elctonice au inceput sa ia amploare fara de cele traditionale pe hartie.
9
Similar se pot rezerva camere de hotel, servicii de
inchirieri masini si multe altele, toate pe Internet.
Prin acest moda s-au dezvoltat multe aplicatii de
succesc cum este Amazon care se ocupa de afaceri
de comanda prin posta, sau eBay prin care se
poate licita online.
Foto 6: Logo browsere
Astfel caserviciile oferite de aplicatile de pe web au devenit tinta unor atacuri. Modelele de ataca
major sunt injectiile SQL, cros-site scripting atacurile impotriva sistemului de nume de domeniu.
In ultimul timp s-au evidentiat un numeros numar de atacuri pe internet asupra diferitor aplicatii
web. Prin aceste atacuri s-a putut fura datele de contact de la utilizatori Gmail si un vierme s-a
raspandit catre un milion de utilizatori de pe MySpace.
Atacurile Cross-Site Scripting sunt un tip de injectii SQL care folosesc scripturi malware si sunt
injectate in site-uri veb. Atacurile apar atunci cand un atacator foloseste o aplicatie web pentru a
trimite codul malitios sub forma de script.
Injectiile SQL sunt cele mai folosite cand este vorba de atacuri pe web. In continuare o sa arat
un mic exemplu despre cum functioneaza acesta:
O sa avem nevoie de un formular simplu HTML, cu doua campuri, username si parola:
<form method="post" action="ceva.php">
<input name="username" type="text" id="user">
<input name="password" type="password" id="pass">
<input type="submit" value="Log in">
</form>
Cel mai simplu mod pentru a ne loga este de a contrui o interogare catre o baza de date astfel:
SELECT id
FROM logins
WHERE username='$username'
And password='$password'
10
In cazul in care variabelele $username si $password sunt solicitare direct la intrarea utilizatorului
atunci acest lucru poate fi usor compromis. Daca introducem numele "Adriana" in sectiune
username iar la password o sa trecem "orice" sau x"="x.
SELECT id
FROM logins
WHERE username='Adriana'
And password='orice' OR 'x'='x'
Expresia 'x'='x' este adevarat deci orice ar fi trecut in campul parola este compromis si atacul are
loc. Atacatorul ocoleste formularul de logare fara sa stie de fapt parola valida.
Firewall-urile sau alte mecanisme de detecare ofera putina aparare impotriva acestor tipuri de
atacuri.
In ultimii ani mai multi hackeri un incercat sa atace diferite site-uri folosind injectii SQL:
In februare 2002 Jeremiah Jacks a descoperit ca siteul Guess.com era vulnerabil la un
atac. Astfel folosind injectii SQL a reusit sa sustraga peste 200.000 de nume plus numere
de credit de card si datele de expirare pentru acestea
In ianuarie 2008 zeci de mii de coputere au fost infectate de un atac automat de tipul
insectie SQL care a exploatat o vulnerabilitate in codul aplicatiilor care utilizeaza
Microsoft SQL Server ca magazin de baze de date.
In august 2009 Departamentul de Justitie al STatelor Unite percep un cetatean american
Albert Gonzalez alaturi de doi rusi cu furtul de 130 de miliane de numere de card de
credit folosind un atac de tipul injectie SQL. Acesta a fost considerat cel mai mare furt de
identitate din istoria Americii.
In momentul de fata se depun eforturi pentru dezvoltarea de mecanisme de securitate in mai
multe domenii. Standardele de securitate ofera protectie criptografica pentru documente XML,
modele generice pentru autentificare si multe altele.
11
6.Concluzie
Tehnologiile si inovatiile dezvoltate in laboatoarele de cercetare de-a lungul anilor, mouse-ul,
Internetul, World Wide Web, telefonia mobila, criptografia, virusuri si multe altele si-au gasit
drumul lor pe piata din intreaga lume, chiar daca la inceput acesta nu putea fi prevazut de catre
inventatorii lor. De exemplu cei care au pus bazele Internetului au fost surprinsi cand s-a dovedit
ca serviciul e-mail a fost printre cele mai populare, iar in ceea ce priveste SMS-urile, nu s-a
asteptat ca aceasta aplicatie sa devina asa importanata pentru telefonia mobila.
Inventatorii pe langa tehnologiile dezvoltate acestia studiza impactul pe care l-ar avea tehnologia
lor si incearca sa dezvolte mecanisme de securitate adecvate in avans.
12
Bibliografie:
http://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model
http://en.wikipedia.org/wiki/Multics
http://ro.wikipedia.org/wiki/Data_Encryption_Standard
http://www.cpu-world.com/CPUs/80286/
http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms
http://www.cs.cmu.edu/~mihaib/articole/codered/codered-html.html
http://insecure.org/stf/smashstack.html
http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html
http://www.defectivebydesign.org/what_is_drm_digital_restrictions_management
http://www.epa.gov/region1/about/copyright.html
http://www.stanford.edu/group/lc-admin/cgi-
bin/lcatswiki/index.php/Information_Security_and_Copyright_Guidelines
http://technet.microsoft.com/en-us/library/ms161953%28v=sql.105%29.aspx
https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29
http://en.wikipedia.org/wiki/SQL_injection#Examples
http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms#1980.E2.80.931989
http://en.wikipedia.org/wiki/Ghostball_%28computer_virus%29
top related