Vulnerabilitatea sistemelor in contextul Internet

Vulnerabilitatea sistemelor n contextul Internet

Vasile BALTAC

Calea Floreasca Nr. 167, 72321 - Bucureti, Romnia

e-mail: Vasile.Baltac@softnet.ro

VULNERABILITY OF SYSTEMS IN INTERNET RELATIONSHIP. Internet becomes the largest man-made system, a global event with direct implication on globalization. The information content of Internet rapidly grows. Despite of the fact that routings, apparently chaotic, show a certain degree of connectivity and some self-organizing features, numerous elements of vulnerability are present. The paper reviews some of the research directions in Internet studies and an approach to reduce vulnerability is proposed.

At Internet micro level vulnerability is mainly under control as the complexity is not too big. Vulnerability at macro level results from the architecture of Internet as a network of unreliable elements and from induced incidents. The latter grow exponentially and the attacks are in the forefront of vulnerability. The eBusiness development brought the necessity of a much higher level of security.

The quick development of Internet has not allowed countering the human factor in vulnerability. This is why the paper raises the question on the study of human society as a source of solutions for vulnerability control. Solutions may be found by analogy with human society confronted itself from the early stages with vulnerability. Various solutions have been found from fortified constructions to sophisticated alarm systems. But to the alternative to safe-proof every house the society opted for laws and law enforcement at community level. This is why the author considers that the Internet has to go from almost an absence of regulations to local and global laws. Regulations could reduce vulnerability at much lesser costs than the technical solutions. The Internet world will become global, democratic a safe through both technical approach and national and international laws.

The summary of the paper: The Internet phenomenon; Research studies on Internet; Elements of vulnerability; Human interaction as vulnerability element (Abstract)World Wide Web: acest articol poate fi gsit pe web la http://www.softnet.ro/vb/papersCuprins

Fenomenul InternetCercetrile privind InternetVolumul de informaie n InternetTopologia InternetLegea lui ZipfPreocupri pentru studiul vulnerabilitiiElemente de vulnerabilitateElemente de vulnerabilitate la nivel microsistemMetode de cretere a securitiiPlanuri de recuperare a daunelorCostul msurilor de securitateElemente de vulnerabilitate la nivel canale de comunicaieElemente de vulnerabilitate la nivel macrosistemInteraciunea uman n Internet ca factor de vulnerabilitateUn punct de vedere privind reducerea vulnerabilitii sistemelor n contextul InternetBibliografie

Fenomenul Internet

Reeaua de reele Internet este n devenire cel mai mare sistem creat de om. Cu zeci de milioane servere, sute de milioane de utilizatori i cu un trafic de date ce va depi traficul de voce n SUA nc din 2002 se poate vorbi de Internet ca un fenomen care reflect n plan tiinific, tehnic i comercial evoluia societii umane la sfritul secolului XX, nceputul secolului XXI.

Este de remarcat c n sistemul de telecomunicaii mondial s-a ajuns la o densitate de linii telefonice de 17% dup peste 160 ani de evoluie, n timp ce numai dup 20 ani densitatea global a utilizatorilor Internet este de 7%.

Se poate deci vorbi fr ndoial de Internet ca despre un fenomen global i care accentueaz globalizarea. Exist numai accidental pete albe pe harta din figura 1 care arat rspndirea mondial a tehnologiilor informaiei, comunicaiilor i Internet (Nua /1/), pete albe care se datoreaz n principal unor considerente de natur politic i social i nu unor dificulti de natur tehnic (Coffman /2/, Digital Planet /3/).

Cercetrile privind Internet

Cu toat evoluia rapid a Internet s-au abordat numeroase teme de cercetare care se refer nu numai la noi tehnologii, soluii arhitecturale, standarde i interaciune cu i intra sistem(e), ci i lucrri care se refer la aspecte vitale pentru viitorul Internet, n principal topologii, stpnirea complexitii i vulnerabilitate.

Volumul de informaie n Internet

Volumul de informaie stocat i accesibil pe Internet crete cu repeziciune. Dup calcule ale autorului aceasta ar putea fi estimat la 1016-1017 bytes. Din informaie circa 50% este n micare, din care 40% local i 10% la distan n reele de arie larg.

Aparent rutrile n acest ocean de informaie ar apare dispersate. Cercetri recente arat totui c se manifest o concentrare a conectivitii. Centrul CAIDA de la University of California at San Diego a demonstrat o concentrare a conectivitii providerilor Internet. Graficul experimental din figura 2 (Caida /4/) reflect orientarea spre ali provideri a peste un milion de legturi (linkuri) din sute de mii de adrese IP. Una din explicaii este concentrarea in SUA celor mai mari provideri, dar fenomenul va persista din motive legate de costurile realizrii unor depozite de informaie ce previn o frmiare excesiv a acestora.

Topologia Internet

Nodurile Internet nu sunt dect elemente de legtur ntre emitorii i receptorii de informaie. Probabilitatea ca un nod s fie legat cu k alte noduri este dat de o lege exponenial

P(k) = ~ k

unde este aproximat la valoarea de 3.

Cercetri privind topologia Internet arat c n aparenta dezordine din Internet exist astfel caracteristici independente de scar i de autoorganizare. Astfel Barabasi s.a. /5/ demonstreaz c diametrul www, definit ca distana medie cea mai scurt dintre dou situri, nu era n anul 2000 mai mare de 19 legturi. Din cauza dependenei logaritmice de volumul Internet, chiar la o cretere de 1000% a www numrul de legturi nu va crete peste 21.

Legea lui Zipf

Descoperit pentru orae n 1949, legea lui Zipf arat c dimensiunea unui eveniment depinde de rangul su conform relaiei:

P(r) = K * r -qunde r este rangul evenimentului, P este dimensiunea sa i K este o constant.

Valoarea lui q a fost determinata ca 0,93

Legea lui Zipf a fost demonstrat pentru corelaia GDP cu dimensiunea www pentru o anumit ar sau regiune (Shiode /6/ - figura 3).

Preocupri pentru studiul vulnerabilitii

Un sistem de tip Internet este vulnerabil. Ansamblul Internet fiind un sistem de sisteme care crete rapid i cu o infrastructur destul de puin fiabil exist numeroase elemente de vulnerabilitate care au generat preocupri pentru studierea acestora.

Vom evidenia cteva dintre elementele de vulnerabilitate.

Elemente de vulnerabilitate

Vulnerabilitatea sistemelor Internet este mai mare dect cea a sistemelor care le-au precedat. Afirmaia se justific n primul rnd deoarece volumul informaiei este mult mai mare dect la celelalte sisteme. n al doilea rnd creterea Internet a fost rapid i fr a fi nsoit de preocupri deosebite pentru asigurarea unei limitri a vulnerabilitii. Important prea la un moment dat s fi prezent n Internet i mai puin s te asiguri.

n afara vulnerabilitii clasice n Internet a aprut atacul informatic ca element provocat sau declanat ntmpltor. Primul incident n 1988 i anume aa numitul Morris Worm (CMS /7/). A urmat o cretere exponenial a incidentelor de acest tip i ulterior i a unei diversiti de alte tipuri.

Este cunoscut c informaia poate fi pierdut, furat, modificat, folosit necorespunztor i decriptat ilegal. Este posibil pierderea integritii, confidenialitii i disponibilitii datelor.

Elementele de vulnerabilitate pot fi evideniate la nivel micro- i macrosistem.

Elemente de vulnerabilitate la nivel microsistem

Complexitatea fiind suficient de mic, vulnerabilitatea este controlabil la nivel de microsistem. Sursele de risc sunt echipamentele, software-ul i bazele de date.

n cazul echipamentelor principalii factori de vulnerabilitate, n afara problemelor normale generate de fiabilitatea intrinsec a componentelor sistemului, sunt dezastrele naturale (furtuni, inundaii, cutremure, etc.), cderile sau ntreruperile de alimentare cu energie i actele de vandalism.

n software, aplicaii i date putem evidenia factorii furt, alterare / distrugere de date, viruii informatici i accidentele neintenionate.

Diminuarea vulnerabilitii la nivel microsistem se poate face prin msuri de control al accesului i creterea robusteei programelor. Toate acestea se fac cu un anumit cost care este cu att mai mic cu ct msurile sunt luate mai din timp n fazele de proiectare i realizare a sistemului aa cum se prezint n figura 4.

Metode de cretere a securitii

Exist numeroase metode de reducere a vulnerabilitii microsistemelor prin proiectare cu elemente de securitate, separarea funciilor, controale de reea, criptare i creare de firewall-uri.

n bun msur folosirea acestor metode contribuie la creterea rezistenei la perturbaii i atacuri a sistemelor.

Planuri de recuperare a daunelor

Problemele de vulnerabilitate fiind imposibil de eliminat, apare ca necesar adoptarea de planuri de recuperare a daunelor. Aceste planuri se pot dovedi extrem de eficace atunci cnd din motive diverse au loc cderi sau atacuri asupra sistemelor.

Din pcate, asemenea planuri se ntocmesc foarte rar.

Costul msurilor de securitate

Elementele reelelor ce compun Internet la nivel de microsistem sunt nesigure i vulnerabile. Costul msurilor de securitate apare, de regul, mare pentru beneficiarii sistemelor i chiar este mare n funcie de nivelul de securitate dorit aa cum este ilustrat n figura 5.

Costul daunelor poteniale descrete ns funcie de nivelul de securitate. El poate exprimat prin formula:

Ct = (C1xP1+ C2xP2++ CnxPn)

unde Ct este costul daunelor poteniale, Ci costul i Pi probabilitatea de apariie a daunei i.

Un optim economic poate fi gsit prin calcularea costului combinat al asigurrii securitii microsistemului conform celor reprezentate n figura 5.

Elemente de vulnerabilitate la nivel canale de comunicaie

Reeaua Internet s-a dezvoltat n principal pe reelele de comunicaie existente. Canalele de comunicaii tradiionale de dovedesc cea mai vulnerabil component a Internet. Fiabilitatea redus este accentuat i de protocoalele nesigure de schimb de informaie. n tabelul 1 se prezint o comparaie a diverselor medii folosite n reelele de comunicaii, inclusiv pentru Internet, din punct de vedere al capacitii, vulnerabilitii la perturbaii electromagnetice i disponibilitii.

Elemente de vulnerabilitate la nivel macrosistem

Vulnerabilitatea Internet la nivel macro este o consecin a arhitecturii sale ca reea de elemente vulnerabile la nivel microsistem i a perturbrilor prin incidente. Sursele de incidente sunt atacuri involuntare sau provocate.

Sunt cunoscute tipurile clasice de incidente: ncercri, scanare, compromitere cont utilizator, compromitere rdcin, captura de date din pachete, blocarea serviciului, nelciune, folosirea de coduri maligne, atacuri asupra infrastructurii.

Creterea incidentelor este exponenial. Este adevrat c sistemele se caracterizeaz intrinsec prin robustee (Reka /7/). n multe situaii funcionarea parial reduce vulnerabilitatea.

Principalul element actual de vulnerabilitate au devenit atacurile. Numai n SUA n anul 2000 s-au cheltuit 337 mil. $ pentru repararea daunelor produse de atacuri.

Factorii favorizani ai acestui tip de vulnerabilitate sunt nodurile nesigure i folosirea comunicaiei necriptate. Este adevrat c n fazele primare ale dezvoltrii Internet nu au existat aplicaii majore care s cear vulnerabilitate redus. Creterea a fost rapid, fr msuri de securitate deosebite. Personalul de exploatare era i el insuficient instruit.

Dezvoltarea afacerilor electronice de tip eBusiness a introdus un nou nivel necesar de securitate, mult mai ridicat. Criptarea a devenit instrumentul folosit de sute de milioane de utilizatori fa de un numr restrns n era pre-Internet.

Interaciunea uman n Internet ca factor de vulnerabilitate

Sisteme fr oameni se comport diferit fa de sistemele cu interaciune uman puternic. n Internet sunt peste 50 milioane servere i 410 milioane oameni. Aciunea uman devine astfel factorul principal de vulnerabilitate. Dimensiunea Internet devine comparabil din punct de vedere al complexitii interaciunilor cu colectivitile umane.

Se pune justificat ntrebarea dac studiul organizrii societii umane nu este o surs de soluii pentru scderea vulnerabilitii ?

Vulnerabilitatea societii umane este i ea foarte mare. Societatea reprezentat ca sistem are n noduri oamenii care sunt extrem de nefiabili. Societatea uman are multe are asemnri cu sistemele din Internet i anume mult redundan, comunicare vulnerabil i vulnerabilitate a informaiei stocate n cretere n timp.

Globalizarea intensific fora atacurilor i asupra societii, la fel cum n mod pregnant se manifest i n Internet.

Un punct de vedere privind reducerea vulnerabilitii sistemelor n contextul Internet

Este un fenomen necontestat c vulnerabilitatea sistemelor n contextul Internet este mare i n cretere. Soluii tehnice exist, sunt ns scumpe, greu de generalizat i vor avea succes limitat.

Soluii pot fi ns gsite prin analogia cu societatea uman. Societatea a fost confruntat nc din fazele incipiente cu problema vulnerabilitii ei. Soluii gsite au fost diverse, de la construcii i comuniti fortificate la folosirea de sisteme de alarmare eficiente.

Nu este o dilem s decizi dac se pun ui blindate la toate casele dintr-o comunitate sau se folosesc fore de ordine eficiente. Societatea uman a optat de timpuriu pentru o organizare prin legi i reguli i instituii de aplicare a acestora.

Reglementrile pot reduce vulnerabilitatea cu costuri mai mici dect msurile tehnice. Lumea Internet poate deveni global, democratic i sigur i prin msuri tehnice i prin reglementri internaionale.

Opozanii unei asemenea abordri pot invoca spiritul de liber iniiativ (free enterprise) care a contribuit mult la creterea Internet i piedicile pe care reglementrile le-ar putea pune dezvoltrii n continuare.

Trecerea la utilizarea Internet n ample aplicaii economice, de nvmnt, culturale, de administraie public face ca ignorarea problematicii vulnerabilitii s devin un factor de frnare chiar mai mare dect acela al unor reglementri insuficient fundamentate.

Prin caracterul su global fenomenul Internet cere reglementri globale transfrontaliere.

Bibliografie

1. Nua Internet Surveys, How many on-line, http://www.nua.net2. Coffman, K. G., Odlysko, A.M. The Size and Growth Rate of the Internet, FirstMonday Peer-Reviewed Jounal on the Internet, http://www.firstmonday.dk3. *** Digital Planet 2000, The Global Information Economy, WITSA, November 2000

4. CAIDA, Visualizing Internet Topologies at a Macroscopic Scale, http://www.caida.org/analysis/topology/as_core_network/5. Barabasi A. L. e.a., Scale free characteristics of random networks: the topology of the world-wide web, Physica A, Elsevier Science B.V., 2000

6. Shiode, N. e.a., Power Law Distributions in Real and Virtual Worlds, Inet 2000 Proceedings, Internet Society, http://www.isoc.org/inet20007. Carnegie Melon Software Engineering Institute, Security of the Internet, Froehlich/Kent Encyclopedia of Telecommunications, vol. 15,

8. Reka A. e.a., The Internet Achilles Heel: Error and attack tolerance of complex networks, Physica A, Elsevier Science B.V., 2000

Figura 4

Figura 2 Concentrarea conectivitii

EMBED Excel.Chart.8 \s

Figura 5 Costul msurilor de securitate

Figura 3

Corelaia ntre PIB i dimensiunile www

Figura 1 rile lumii i dezvoltarea tehnologiilor Internet

EMBED Excel.Chart.8 \s

MediuCapacitateVulnerabilitate la interferen electromagneticCost comparativDisponibilitate globalFiremicmaremicgeneralCablu coaxialmediemicmediuslabMicroundemaremicmaremareCablu opticmarezeromarelimitat

Tabelul 1 Comparaie a mediilor de comunicaii

Lumea Internet va trebui s evolueze de la absena reglementrii la reglementri naionale i globale

Vulnerabilitatea Internet este de 100%,

nefiind posibil s se conceap un sistem total nevulnerabil.

Din punct de vedere tehnic viteza de cretere i mai ales timpul scurt nu au permis contracararea eficient a influenei factorului uman n sporirea vulnerabilitii Internet.

1

26

_1060168378.xlsChart1

1005120061300

2002560035800

4001280023200

800640017200

1600320014800

3200160014800

640080017200

1280040023200

2560020035800

5120010061300

Costul masurilor de asigurare

Costul daunei potentiale

Cost combinat

Nivel de securitate

Cost

Sheet1

Costul masurilor de asigurareCostul daunei potentialeCost combinat

1005120061300

2002560035800

4001280023200

800640017200

1600320014800

3200160014800

640080017200

1280040023200

2560020035800

5120010061300

_1060166401.xlsChart1

1

10

25

50

100

200

Factor multiplicare cost

Factorul de multiplicare al costului msurilor de securitate

Sheet1

Factor multiplicare cost

Cerinte1

Proiectare10

Elaborare25

Alfa test50

Beta test100

Exploatare200