1

Istoria si evolutia securitatii in informatica

Student:

Adriana Adam

Gr:235

2

Contents

1. Inceputurile securitatii in informatica ....................................................................................................... 3

2. Anii 1970 - Mainframe-uri ........................................................................................................................ 4

3. Anii 1980 - Computerele personale .......................................................................................................... 5

4. Anii 1990 - Internetul ................................................................................................................................ 7

5. Anii 2000 - Web ........................................................................................................................................ 8

6.Concluzie ................................................................................................................................................. 11

Bibliografie: ................................................................................................................................................ 12

3

1. Inceputurile securitatii in informatica

Provocarile in securitate apar atunci cand tehnologiile noi sau mai vechi sunt puse in utilizare.

Primele calculatoare electornice au fost construite in anii 1940 (EDVAC, ENIAC) si au fost

folosite in mediul academic sau in diferite organizatii si agentii guvernamentale. Securitatea in

domeniul informaticii isi are originile in anii 1960. Findca au aparut sistemele multiutilizator a

fost nevoie de mecanisme pentru a proteja sistemul de utilizatorii lui si de a proteja utilizatorii

fata de ceilalti.

La inceputul anilor 1970 a inceput cercetarea pentru securitatea in informatica, astfel ca s-au

elaborat doua rapoarte care vor reprezenta startul in securitatea in informatica. Acestea sunt:

1. Raportul RAND elaborat de Willis Ware rezuma fundatiile tehnice de securitate in

informatica care existau pana la sfarsitul anilor 1960. De asemenea in raport a existat o

analiza detaliata a cerintelor de protectie a informatiilor clasificate din sectorul de

aparare a SUA.

2. Raportul Anderson a aparut la scurt timp dupa raportul RAND si acesta a stabilit un

program de cercetare pentru proiectarea de sisteme informatice sigure tot pentru a proteja

informatiile clasificate.

Atunci a inceput sa apara dependenta de calculator ca fiind un instrument de prelucrare a datelor

si de luare a deciziilor in zone functionale sensibile. Prelucrarea automata a datelor a dus la

apatitia unor sisteme complexe de partajare a resurselor informatice ce ofera utilizatorilor

posibilitatea pentru schimbul de date cu alti utilizatori.

Foto1: EDVAC- printre primele calculatoare electornice (1944)

4

Avand in vedere ca din anii 70 tehnologiile au inceput sa se dezvolte, in acest referat am facut un

cuprins bazat pe 6 capitole. Capitolul 1 fiind introducerea, urmand ca in capitolele 2,3,4,5 sa

prezint cele 4 decenii de activitate in istoria informaticii, sa caracterizez tehnologiile de la acele

timpuri, problemele intampinate in securitate si gasirea de solutii pentru acele probleme,

urmand sa inchei cu concluzie.

2. Anii 1970 - Mainframe-uri

Proiectarea discului de memorie de la IBM a oferit o capacitate de memorare cuprinsa intre 35-

70 megaocteti, si au facilitat prelucrarea unor mari cantitati de date pentru acea vreme.

Mainfram-urile au fost utilizate in special in departamentele guvernamentale si in cele

comerciale de mari dimensiuni. Dupa cum am precizat si mai sus, sectorul de aparare a vazut

beneficiile potentiale ale utilizarii calculatoarelor, dar informatiile clasificate trebuie sa fie

prelucrate in siguranta. Acest lucru a condus US AirForce sa creeze un grup de studiu, astfel ca

au raportat constatrile in raportul Anderson.

Foto2: IBM 7094, un calculator mainframe

Programele de cercetare generate de raaportul Anderson au dezvoltat un model de stat formal

pentru politicile de securitate pe mai multe nivelele, care reglementeaza accesul la date

clasificate.

Un asflel de model este modelul Bell-LaPadula (BLP), a fost utilizat pentru accesul la aplicatiile

guvernamentale si militare. A fost dezvoltat de catre David Elliot Bell si Leonard J. Lapadula.

Modelul descie un set de reguli de control al accesului care folosesc etichete de securitare pe

obiecte si autorizatii pentru subiecte. Etichetele se securitate variaza de la cele mai sensibile de

exemplu ("Top Secret"), pana la cele mai putin sensibile ("neclasificat", "public").

Un alt proiect este proiectul Multics(Multiplexed Information and Computing Sevice).

Realizarea lui a inceput in 1964 si a fost activ pana la 30 octombri 2000 la departamentul de

aparare nationala din Halifax Canada. Proiectul a dezvoltat un sistem de operare, iar securitatea

a fost unul dintre principalele sale obiective.

5

Prelucrarea datelor cu caracter personal (neclasificate dar sensibile) cu privire la cetatenii din

departamentele guvernamentale, au fost procesate si inainte dar acum cu ajutorul maifram-urilor

prelucrarea datelor la o scara mult mai mare a devenit o posibilitate. De asemenea a ajutat la

faptul ca persoanele ramaneau nedetectate atunci cand se incerca intrarea in sistem fara

autorizatie. Din acest motiv s-au dezvoltat un numar de mecanisme de protectie cum ar fi

mecanismele de control de acces in sistem.

Un alt mecanism este criptarea datelor, care asigura protectia cea mai cuprinzatoare pentru datele

stocate in memoria calculatorului. IBM a prezentat un algoritm de criptarea (ce a fost emis de

catre Biroul Federal al SUA), acest algoritm a devenit cunoscut sub numele de Data Encryption

Standard. Algorimul a fost controversat la inceput si a fost analizat de multi specialisti in

domeniu. Azi algorimul este considerat nesigur pentru ca foloseste principiul cheii de 56 de biti

care este considerata prea scurta. Cu toate aceste dupa dezvoltarea algoritmului a inceput discutia

desprea algoritmi de sortare si astfel criptografia a devenit o disciplina academica.

Cercetarea pe criptografie a atins de atunci un nivel ridicat de maturitate, in 1990 SUA de decis

sa actualizeze algoritmul si astfel s-a ajuns la Advanced Encryption Standard.

3. Anii 1980 - Computerele personale

La inceputul anilor 1980 miniaturizarea si integrarea componentelor calculatoarelor a ajuns la

stadiul in care acestea nu mai sunt necesare pentru a fi masini mari adapostite in camere speciale,

ci au fost suficient de mici pentru a incapea pe un birou.

Aceasta noua inovatie PC- personal computer a schimbat in mod direct accentul de securitate

informatica in tipul acelor ani. Apple in 1984 isi lanseaza celebrul Macintosh, primele aplicatii

au fost editoare de text si programe de calcul tabelar. Pentru multi experti in securitate

dezvoltarea anilor 1980 a dus la sisteme mai putin protejate.

Foto3: Macintosh (1984)

6

In anii 1987 si 1989 au existat doua modele de integritate si anume, modelul Clark-Wilson si

modelul Chinese Wall care ofera o baza pentru specificarea su analiza politica de integritatea

pentru un sistem de calcul. Clark si Wilson prezinta tranzactii bine formate si separarea

atributiilor in doua principii de proiectare pentru securizarea sistemelor comerciale, iar modelul

Chinese Wall a fost inspirat din cerinta pentru a preveni conflictele de interes in afacerile de

consunltanta financiara.

O schimbare mai putin vizibila a avut loc in dezvoltarea arhitecturii de procesoare(Intel 80286,

Intel 80386). Anii 1980 au adus si primii viermi si virusi iar atacarea sistemelor informatice a

devenit vizibil la un public mai larg.

In acest deceniu au existat mai multe incidente de atacare a sistemelor informatice ce au dus la

condamnari in instanta de judecata, cel mai cunoscut atac este:

Viermele de internet din 1988 a exploatat o serie de vulnerabilitati cunoscute, cum ar fi

forta bruta in ghicitul parolei pentru autentificarea de la distanta, configuratii rele, buffer

overflow. Viermele a patruns in 5-10% din calculatoarele ce erau conectate la Internet,

aproximativ 60.000 de masini la acel timp. Cercetatorii au atacat viermele prin mai multe

metode:

dezasamblarea lui si intelegerea instructiunilor din care era compus

au creat masini capcana pe care sa le infecteze pentru a inregistra detalii despe

cea ce se petrecea cu ele

au creat masini mutant pentru a le parazita partial, cu scopul de a descoperi care

sunt serviciile de care are nevoie viermele pentru a se multiplica

Viermele nu efectua actiuni distructive (stergerea de fisiere), singurul efect negativ provenea din

faptul ca masinile erau in mod repetat infectate si nu faceau altceva decat sa execute copii ale

viermelui.

A fost descoperit ca viermele a fost creat si lansat de catre un student la doctorat la Universitatii

Cornell pe nume Robert Tappan Morris. El a fost condamnat la 3 ani de inchisoare cu suspendare

pentru fapta sa. Acum el este profesor la MIT si lucreaza in domeniul retelelor de calculatoare.

Virusul Ghostball descoperit de Fridrik Skulason in octombrie 1989, infecteaza atat

executabilele .Com ale fisierelor si sectoarele de boot pe sisteme MS-DOS. In general

afecteaza productivitatea computerului , reduce nivelul de securitate al calculatorului dar

nu se raspandeste in mod automat de unul singur.

7

Foto 4: Tipuri de softuri malitioase

4. Anii 1990 - Internetul

Anii 1990 nu sunt anii in care a fost creat internetul ci anii in care noua tehnologie a devenit mai

diponibila si pentru ca Internetul a fost deschis si pentru uz comercial in 1992. World Wide Web

si browserele web au creat o noua experienta de utilizare a computerului si au facilitat o serie

intreaga de noi aplicatii.

Internetul esteun sistem de comunicatii astfel securitatea pe Internet a fost initial echivalat cu

securitatea comunicatiilor, dat acesta rezolva doar problema cea mai simpla si anume protejarea

datelor in tranzit. Acesta a fost un inceput clar cum ca problemele reale se gasesc in alta parte.

Conectarea unei masini la Internet are doua ramificatii majore:

proprietarul sistemului nu mai controleaza cine poate trimte intrari catre masina lui

proprietarul sistemului nu mai controleaza ce intrari pot fi trimise catre masina lui

Prima observatie exclude controlul traditional de acces pe baza de identitate ca fiind un

macanism de protectie viabil. A doua observatie arata un nou tip de atac care este descris de

Aleph One in lucrarea "Smashing the Stack for Fun and Profit" (1996). Alepsh descrie cum un

atacator poate trimite intentionat intrari malformate la un port deschis pe o masina care va

provoca "buffer overrun" adica depasirea la o zona de tampon si astfel se transfera codul shell

introdus de atacator.

8

Modelul de securitate Java abordeaza ambele probleme.

Privilegiile sunt atribuite in functie de originea codului si

nu in functie de identitatea utilizatorului care ruleaza un

program. Ca un limbaj de tip sigur, Java ofera garantii de

securitate in ceea ce priveste memoria care impiedica

depasirile tampon.

Odata cu cresterea abrupta a numarului de vulnerabilitati

exploatabile de care vorbeste Aleph in lucrarea lui plus

existenta posibilitatii transmiterii virusurilor folosind

emailul a fost fondata "Trusted Computing Platform Alliance " in 1999 de catre Microsoft, Compaq, HP,

IBM si Intel cu scopul de "a facce web-ul un loc mai sigur pentru a naviga"

Foto 5: World Wide Web

Progresele in grafica au transformat calculatorul intr-un loc de divertisment la domicilie pentru jocuri,

video, muzica, filme si nu numai. Astefel Internetula devenit un nou canal de distributie atractiv pentru

firmele care ofera astfel de tipuri de divertisment, dar s-au condruntat cu o serie de probleme in legatura

cu copiere produselor distribuite pe Internet.

Pentru a proteja produselor impotriva copierii lor in securitatea calculatoarelor Managementul Drepturilor

Digitale (Digital Rights Management- DRM) a adus o intorsatura pentru acest control. DRM impune

polita de securitate a unei parti externe impotriva actiunilor de catre proprietarul sistemului.

Prin intremediul Internetului atacurile au ajuns de la o posibilitate la un fapt. Astfel ca firewall-ul a

devenit o componenta comuna in securitatea arhitecturii de retea. Aparitia atacurilor pe internet au dus la

o reconsiderare a principiilor de inginerie care stau la baza proiectarii de protocoale cripotografice.

Astazi protocoalele sunt concepute pentru a echilibra volumul de munca intre inittiator si victima, astfel

incat atacatorul ar trebui sa cheltuie acelasi efort de calcul, la fel ca victima.

5. Anii 2000 - Web

Cand vorbim despre web, exista doua parti:

tehnologia folosita: browser-ul este principala componenta software a clientului care

gestioneaza interactiunea cu serverele si afiseaza paginile pentru acesta; HTTP ca si

protocol de comunicare la nivel aplicatie; HTML- pentru date; client-side, server-side

limbaje de scripting pentru interactiuni dinamice; WLAn si telfoane mobile.

Utilizatorii web: clientii pentru serviciile oferite de furnizorii.

O mare crestere a avut loc odata cu venirea anilor 2000 si anume cresterea bazei de date a

utilizatorilor. Dupa ce utilizatorii au avut acces la internetul pe mobil, multe companii au

interactionat direct cu clientii acestora, astfel eliminand intermediarii si alte tranzactii inutile.

In sectorul turismului companiile aeriene au fost primele care au oferit posibilitatea rezervarii de

bilete online. Biletele elctonice au inceput sa ia amploare fara de cele traditionale pe hartie.

9

Similar se pot rezerva camere de hotel, servicii de

inchirieri masini si multe altele, toate pe Internet.

Prin acest moda s-au dezvoltat multe aplicatii de

succesc cum este Amazon care se ocupa de afaceri

de comanda prin posta, sau eBay prin care se

poate licita online.

Foto 6: Logo browsere

Astfel caserviciile oferite de aplicatile de pe web au devenit tinta unor atacuri. Modelele de ataca

major sunt injectiile SQL, cros-site scripting atacurile impotriva sistemului de nume de domeniu.

In ultimul timp s-au evidentiat un numeros numar de atacuri pe internet asupra diferitor aplicatii

web. Prin aceste atacuri s-a putut fura datele de contact de la utilizatori Gmail si un vierme s-a

raspandit catre un milion de utilizatori de pe MySpace.

Atacurile Cross-Site Scripting sunt un tip de injectii SQL care folosesc scripturi malware si sunt

injectate in site-uri veb. Atacurile apar atunci cand un atacator foloseste o aplicatie web pentru a

trimite codul malitios sub forma de script.

Injectiile SQL sunt cele mai folosite cand este vorba de atacuri pe web. In continuare o sa arat

un mic exemplu despre cum functioneaza acesta:

O sa avem nevoie de un formular simplu HTML, cu doua campuri, username si parola:

<form method="post" action="ceva.php">

<input name="username" type="text" id="user">

<input name="password" type="password" id="pass">

<input type="submit" value="Log in">

</form>

Cel mai simplu mod pentru a ne loga este de a contrui o interogare catre o baza de date astfel:

SELECT id

FROM logins

WHERE username='$username'

And password='$password'

10

In cazul in care variabelele $username si $password sunt solicitare direct la intrarea utilizatorului

atunci acest lucru poate fi usor compromis. Daca introducem numele "Adriana" in sectiune

username iar la password o sa trecem "orice" sau x"="x.

SELECT id

FROM logins

WHERE username='Adriana'

And password='orice' OR 'x'='x'

Expresia 'x'='x' este adevarat deci orice ar fi trecut in campul parola este compromis si atacul are

loc. Atacatorul ocoleste formularul de logare fara sa stie de fapt parola valida.

Firewall-urile sau alte mecanisme de detecare ofera putina aparare impotriva acestor tipuri de

atacuri.

In ultimii ani mai multi hackeri un incercat sa atace diferite site-uri folosind injectii SQL:

In februare 2002 Jeremiah Jacks a descoperit ca siteul Guess.com era vulnerabil la un

atac. Astfel folosind injectii SQL a reusit sa sustraga peste 200.000 de nume plus numere

de credit de card si datele de expirare pentru acestea

In ianuarie 2008 zeci de mii de coputere au fost infectate de un atac automat de tipul

insectie SQL care a exploatat o vulnerabilitate in codul aplicatiilor care utilizeaza

Microsoft SQL Server ca magazin de baze de date.

In august 2009 Departamentul de Justitie al STatelor Unite percep un cetatean american

Albert Gonzalez alaturi de doi rusi cu furtul de 130 de miliane de numere de card de

credit folosind un atac de tipul injectie SQL. Acesta a fost considerat cel mai mare furt de

identitate din istoria Americii.

In momentul de fata se depun eforturi pentru dezvoltarea de mecanisme de securitate in mai

multe domenii. Standardele de securitate ofera protectie criptografica pentru documente XML,

modele generice pentru autentificare si multe altele.

11

6.Concluzie

Tehnologiile si inovatiile dezvoltate in laboatoarele de cercetare de-a lungul anilor, mouse-ul,

Internetul, World Wide Web, telefonia mobila, criptografia, virusuri si multe altele si-au gasit

drumul lor pe piata din intreaga lume, chiar daca la inceput acesta nu putea fi prevazut de catre

inventatorii lor. De exemplu cei care au pus bazele Internetului au fost surprinsi cand s-a dovedit

ca serviciul e-mail a fost printre cele mai populare, iar in ceea ce priveste SMS-urile, nu s-a

asteptat ca aceasta aplicatie sa devina asa importanata pentru telefonia mobila.

Inventatorii pe langa tehnologiile dezvoltate acestia studiza impactul pe care l-ar avea tehnologia

lor si incearca sa dezvolte mecanisme de securitate adecvate in avans.

12

Bibliografie:

http://en.wikipedia.org/wiki/Bell%E2%80%93LaPadula_model

http://en.wikipedia.org/wiki/Multics

http://ro.wikipedia.org/wiki/Data_Encryption_Standard

http://www.cpu-world.com/CPUs/80286/

http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms

http://www.cs.cmu.edu/~mihaib/articole/codered/codered-html.html

http://insecure.org/stf/smashstack.html

http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html

http://www.defectivebydesign.org/what_is_drm_digital_restrictions_management

http://www.epa.gov/region1/about/copyright.html

http://www.stanford.edu/group/lc-admin/cgi-

bin/lcatswiki/index.php/Information_Security_and_Copyright_Guidelines

http://technet.microsoft.com/en-us/library/ms161953%28v=sql.105%29.aspx

https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29

http://en.wikipedia.org/wiki/SQL_injection#Examples

http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms#1980.E2.80.931989

http://en.wikipedia.org/wiki/Ghostball_%28computer_virus%29