Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2010-2011 Εξάμηνο: Η’ Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες Εμμανουήλ Μάγκος •http://di.ionio.gr/~emagos/security/lectures.html.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2010-2011 Εξάμηνο: Η’ Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες Εμμανουήλ Μάγκος •http://di.ionio.gr/~emagos/security/lectures.html."— Μεταγράφημα παρουσίασης:

1 Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Η’ Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες Εμμανουήλ Μάγκος •http://di.ionio.gr/~emagos/security/lectures.html

2 Syllabus A. Λίγα λόγια για το μάθημα B. Η έννοια της Ασφάλειας C. Γιατί η Ασφάλεια είναι τόσο σημαντική σήμερα D. Απειλές-Ευπάθειες-Κίνδυνοι-Μηχανισμοί προστασίας E. Το γνωστικό αντικείμενο

3 Α. Προκαταρκτικά Μαθήματος  Σελίδα μαθήματος: … Ο χώρος επικοινωνίας μας

4 Β. Ασφάλεια – Ορισμοί  Security: (Oxford Dictionary)  Freedom from danger or anxiety  Ασφάλεια: (Μπαμπινιώτης)  Η κατάσταση στην οποία … αισθάνεται κανείς ότι δεν απειλείται.  Η αποτροπή κινδύνου ή απειλής…

5 Ασφάλεια – Ορισμοί  Ασφάλεια (Security) & Ασφάλεια (Safety)  Security: Προστασία έναντι εχθρού  Safety: Προστασία έναντι σφαλμάτων, λαθών, ατυχημάτων, παραλείψεων Η “ασφάλεια” στα ελληνικά: Ένα σημαίνον για δύο σημαινόμενα

6 Ένας Ορισμός…  Το γνωστικό αντικείμενο που ασχολείται με: Την πρόληψη, ανίχνευση και αντιμετώπιση μη εξουσιοδοτημένων πράξεων, οι οποίες γίνονται από χρήστες υπολογιστικών συστημάτων  Forester and Morrison (1994) defined a computer crime as: a criminal act in which a computer is used as the principal tool.

7

8 C. Μα, γιατί μιλάμε για την ασφάλεια;  Κακόβουλο λογισμικό (botnets, trojans),….  Παράνομη εισβολή σε συστήματα, (Hacking,…),  Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία (read, write)  Επιθέσεις Άρνησης Εξυπηρέτησης (DOS).  Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading), Κλοπή Ταυτότητας (Identity Theft)  Υποκλοπές Επικοινωνιών, Πρόσβαση σε προσωπικά δεδομένα  Μη ζητηθείσα επικοινωνία (spam), «Ηλ. Ψάρεμα» (Phishing)  Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας ……

9 Spoofing / Masquerading

10 Phishing

11 Phishing -Kοινωνική μηχανική (social engineering)

12 Μα, γιατί μιλάμε για την ασφάλεια; Cisco 2010 Annual Sec. Report

13 Facebook clickjacking Quarterly Report, Panda Labs, April-June 2010

14 Tabnapping

15 Cisco 2010 Annual Sec. Report

16 Quarterly Report, Panda Labs, April-June 2010

17 Video time

18 Cisco 2010 Annual Sec. Report

19 D. Τι σημαίνει «Ασφαλές Σύστημα»;

20 Τι σημαίνει «Ασφαλές Σύστημα»; Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας», Πανεπιστήμιο Πειραιώς, 2009

21 Αγαθό (Asset)  Κάθε αντικείμενο ή πόρος το οποίο αξίζει να προστατευθεί.  Φυσικά Αγαθά (Physical Assets):  Κτίρια, Υπολογιστές, Δικτυακή Υποδομή, Έπιπλα, κτλ  Αγαθά Δεδομένων (Data Assets):  Αρχεία (ηλεκτρονικά, έντυπα)  Αγαθά Λογισμικού (Software Assets):  Λογισμικό Εφαρμογών, Λειτουργικά Συστήματα, κτλ Βασικοί όροι στην Ασφάλεια

22 Φόρμα Καταγραφής Αγαθών

23 Φόρμα Εκτίμησης Άμεσης Αξίας Φυσικών και Λογισμικών Αγαθών

24 Συνέπεια (Impact)  Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού  Άμεσες Συνέπειες – π.χ.  Kόστος επαναγοράς και διαμόρφωσης  Έμμεσες Συνέπειες – π.χ.  Πρόκληση δυσφήμησης  Νομικές συνέπειες  Απώλειες από διακοπή ή παρεμπόδιση λειτουργιών Βασικοί όροι στην Ασφάλεια

25 Φόρμα Εκτίμησης Συνεπειών

26  Απειλή (Threat)  Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό  Φυσικές Απειλές:  Φωτιά, Σεισμός, Πλημμύρα,…  Ανθρώπινες Εσκεμμένες:  Κλοπή, Βανδαλισμός, Αλλοίωση, Αποκάλυψη Πληροφορίας  Ανθρώπινες Τυχαίες:  Κακή χρήση πόρου, πρόκληση ζημιάς, τυχαία αποκάλυψη πληροφορίας κτλ Βασικοί όροι στην Ασφάλεια

27 Απειλές στην Ασφάλεια – 1 η Θεώρηση 1. Παθητικές επιθέσεις: τις κάνει η Eve (eavesdrop)  Packet sniffing  Traffic analysis  Αλλά και: Password cracking / breaking a crypto key …… 2. Ενεργητικές επιθέσεις: τις κάνει ο Mallory  Πλαστοπροσωπία: Masquerading, Spoofing, MIM  Επιθέσεις επανάληψης (replay)  Επιθέσεις άρνησης εξυπηρέτησης (Denial Of Service – DOS)  Επιθέσεις Τροποποίησης (modification) ……

28 1. Υποκλοπή (Interception) 2. Διακοπή (Interruption) 3. Αλλοίωση (Modification) 4. Εισαγωγή (Fabrication) Απειλές στην Ασφάλεια– 2 η Θεώρηση

29 1. Υποκλοπή (Interception)  Μία μη εξουσιοδοτημένη οντότητα αποκτά πρόσβαση σε αγαθό  Παραδείγματα  Packet sniffing  Traffic analysis  Shoulder surfing …… Απειλές στην Ασφάλεια – 2 η Θεώρηση

30 2. Διακοπή (Interruption)  Ένα αγαθό/υπηρεσία καταστρέφεται, γίνεται μη διαθέσιμο, ή άχρηστο  Παραδείγματα  Διαγραφή δεδομένων/προγραμμάτων  Καταστροφή υλικού  Διακοπή επικοινωνίας …… Απειλές στην Ασφάλεια – 2 η Θεώρηση

31 3. Αλλοίωση (Modification)  Μία μη εξουσιοδοτημένη οντότητα αλλοιώνει-τροποποιεί ένα αγαθό  Παραδείγματα:  Τροποποίηση δεδομένων σε αρχείο,  Τροποποίηση εγγραφών σε μια ΒΔ  Τροποποίηση μηνυμάτων που μεταδίδονται  Αλλοίωση του κώδικα προγράμματος  Αλλαγή δεδομένων συναλλαγής Απειλές στην Ασφάλεια – 2 η Θεώρηση

32 4. Εισαγωγή (Fabrication)  Ένα (μη αυθεντικό) αντικείμενο εισέρχεται στο σύστημα  Παραδείγματα  Εισαγωγή πλαστών μηνυμάτων σε επικοινωνία/συναλλαγή  Εισαγωγή πλαστών εγγραφών σε ΒΔ  Αλλά και: Phishing, Spoofing, Man-in-the-Middle attacks Απειλές στην Ασφάλεια – 2 η Θεώρηση

33 Απειλές στην Ασφάλεια – 3 η Θεώρηση  Ένας άλλος τρόπος να θεωρήσουμε τις απειλές είναι ως προς την παραβίαση μιας εκ των «πασίγνωστων» στόχων ασφάλειας:  Απειλές κατά της Εμπιστευτικότητα  π.χ. Interception attacks  Απειλές κατά της Ακεραιότητας  π.χ. Modification & Fabrication attacks  Απειλές κατά της Διαθεσιμότητας  π.χ. Interruption attacks

34 Απειλές στην Ασφάλεια – 4 η Θεώρηση 1. Εξωτερικές Απειλές: Χρήστες εκτός Επιχείρησης / Οργανισμού  Outsiders: Hackers / Crackers / Vandals / Hacktivists  Outsiders: Κοινωνικοί Μηχανικοί (Social Engineers) 2. Εσωτερικές Απειλές: - Χρήστες εντός Επιχείρησης/Οργανισμού  Insiders: Παράκαμψη ελέγχου πρόσβασης «εκ των έσω»  π.χ. Δυσαρεστημένοι υπάλληλοι, λάθη & απροσεξίες

35 Απειλές στην Ασφάλεια – 5 η Θεώρηση Τυχαίες ή Εσκεμμένες Φυσικές π.χ. φωτιά Διακοπή ρεύματος; Εξοπλισμός π.χ. CPU, Δίκτυο, Σκληρός δίσκος, - Σφάλμα εφαρμογής, - Buffer overflow attacks Ανθρώπινες e.g.Λάθη χρήστη, hackers, Ιοί.

36 Ενδεικτικός Πίνακας Απειλών Παράδειγμα

37 Ευπάθειες (Vulnerabilities)  Ευπάθεια ή Αδυναμία (Vulnerability) a) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό σε κάποια απειλή, δηλαδή αυξάνουν την πιθανότητα εκδήλωσης της απειλής  Π.χ: εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται, το αρχείο έχει μεγάλη αδυναμία στην απειλή της κλοπής b) Οτιδήποτε μεγιστοποιεί τις συνέπειες από την εκδήλωση μίας απειλής  Π.χ: εάν δεν υπάρχει σύστημα αυτόματης πυρόσβεσης σε ένα χώρο, η συνέπειες από μία πιθανή πυρκαγιά θα είναι πολύ μεγάλες

38 Φόρμα αντιστοίχησης Απειλών και Αδυναμιών σε Αγαθά Παράδειγμα

39

40 Χαρακτηρισμός Επιπέδων Απειλής και Αδυναμίας Παράδειγμα

41 Φόρμα Εκτίμησης Επιπέδων Απειλών και Αδυναμιών σε Αγαθά Παράδειγμα

42

43 Ανάλυση Κινδύνου (Risk Analysis) Risk = Threat x Vulnerability x Impact (Asset value)

44 44 Ανάλυση & Διαχείριση Πληροφοριακού Κινδύνου 1. Ανάλυση Κινδύνου (Risk Analysis)  Διαδικασία εντοπισμού των ευάλωτων σημείων ενός Π.Σ. και προσδιορισμού των επιμέρους κινδύνων οι οποίοι σε περίπτωση εκδήλωσης θα είχαν αρνητικές συνέπειες για τον υπό μελέτη οργανισμό. 2. Διαχείριση Κινδύνου (Risk Management)  Η διαδικασία αντιμετώπισης των κινδύνων που έχουν εντοπιστεί στην προηγούμενη φάση με την κατάλληλη μέθοδο, με βάση τις αποφάσεις της Διοίκησης ενός οργανισμού.

45 Ανάλυση Κινδύνου  Παράδειγμα πίνακα εκτίμησης κινδύνου

46 Πίνακας Υπολογισμού Επιπέδου Κινδύνου

47 Πίνακας Επεξήγησης Κωδικών Παράδειγμα

48 Διαχείριση Κινδύνου

49 Μια θεώρηση από τη σκοπιά των Οικονομικών της Ασφάλειας (Security Economics)  Στόχος της ασφάλειας (Infosec goal)  Ο σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού: επιθυμητή ισορροπία μεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά Κόστος Μηχανισμών Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόμενο Όφελος

50 Πίνακας Σύνοψης Επιπέδου Κινδύνων Παράδειγμα

51 Μηχανισμοί Ασφάλειας (Security Controls) 1 η Θεώρηση Θα δωθεί έμφαση στην πρόληψη (prevention), ανίχνευση (detection), ή απόκριση (response); Κλείδωσε τα Παρακολούθησε τα Αν κλαπούν ή Αλλοιωθούν, Κάνε κάτι

52 Απόκριση Back-up, Computer forensics, malware removal, hot sites,… Πρόληψη Φυσική ασφάλεια, access control, replication, Firewalls, Κρυπτογράφηση, Ψηφ. Υπογραφή, Προγράμματα antivirus, Ασφαλής Προγραμματισμός, Πολιτική κωδικών ασφάλειας,… Ανίχνευση Συστήματα Ανίχνευσης Εισβολών (IDS), Αρχεία καταγραφής, penetration testing,… Μηχανισμοί Ασφάλειας - 1 η Θεώρηση

53 Κατηγορία Ελέγχου`ΠρόληψηΑνίχνευσηΑντιμετώπιση Φυσικής πρόσβασης (παραδείγματα) ΦράχτεςXX Προσωπικό ΑσφαλείαςXXΧ Έξυπνες Κάρτες (smartcards), ΒιομετρίαX Διαχειριστικός (παραδείγματα) Πολιτικές ΑσφάλειαςXXΧ Έλεγχος και ΕποπτείαXX Εκπαίδευση υπαλλήλωνXXΧ Λογικής Πρόσβασης (παραδείγματα) Λίστες Ελέγχου Πρόσβασης (ACLs), MAC, RBAC,…X Passwords, CAPTCHAs Λογισμικό Antivirus, Anti-spam, Anti-Spyware,..XXX Κρυπτογράφηση Δεδομένων και ΕπικοινωνιώνX Firewalls (Packet Filters, Application Gateways)XX Συστήματα Ανίχνευσης & Αποτροπής Εισβολών (IDS/IPS)XXX

54 Μηχανισμοί Ασφάλειας - 2 η Θεώρηση 1. Τεχνικά μέσα  π.x. passwords, firewalls, smartcards 2. Μη τεχνικά μέσα (Non-technical): Άνθρωποι και διαδικασίες  Προσωπικό ασφάλειας, ασφάλεια κτιρίου  Πολιτικές Ασφάλειας  Νομικά ζητήματα, Ηθική του Κυβερνοχώρου (Cyber-ethics)

55 E. To Γνωστικό Αντικείμενο – 1 η Θεώρηση ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΥΠΟΔΟΜΩΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΑΥΘΕΝΤΙΚΟΤΗΤΑ

56 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

57 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

58 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

59 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

60 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

61 Το Γνωστικό Αντικείμενο – 3 η θεώρηση

62 1. Έλεγχος Πρόσβασης – Αυθεντικοποίηση Οντότητας  Αυθεντικοποίηση  “Κάτι που ξέρω” (passwords, PINs, challenge-response)  “Κάτι που έχω” (smartcards, tokens)  “Κάτι που είμαι” (Biometrics)  … αλλά και :  “Κάτι που βλέπω/ακούω” (CAPTCHAs)

63 Passwords-Pins

64 Smartcards

65 Biometrics •0•0 •1•1 •2•2 •3•3 •4•4 •Accuracy >> •Affordability >> •http://www.csse.monash.edu.au/courseware/cse2500/ppt/Authentication.ppt

66 CAPTCHAs

67 2. Εξουσιοδότηση και Έλεγχος Πρόσβασης Συστημάτων  “Hot” θέματα:  ACLs, Ασφάλεια MLS and information flow  Sandboxing & Virtualization  Application Security  Memory security  File system Security  Database Security  OS Kernel Security  Trusted Computing  Hardware Security  Tempest and Side Channel Attacks  Assurance and Evaluation

68 ACLs, Ασφάλεια MLS and information flow

69 Sandboxing

70 Application Security

71 Memory

72 File system security Bitlocker (Windows Vista)

73 Database Security

74 OS Kernel Security

75 Tempest attacks

76 Assurance and Evaluation

77 3. Κακόβουλο Λογισμικό  “Hot” θέματα:  Bots, Botnets  Rootkits  Spam, Phishing & Fraud  Intrusion Detection  …

78 Botnets

79 Rootkits

80 Spam

81 Intrusion Detection •Application •Antivirus •Filter driver •Antivirus •Service •File System •Driver •signature •database •kernel •mode •user •mode

82 4. Ασφάλεια στο Web  “Hot” θέματα:  Web browser security  Web app & web server security  Web privacy  …

83 Web browser security

84 Web app & web server security (1) Buffer overflow attack Shell •1•1

85 Web app & web server security (2) Buffer overflow attack Shell •1•1 SQL injection attack

86 6. Ασφάλεια Δικτύων  “Hot” θέματα:  TCP/IP Security  Penetration testing  Authenticated Key establishment and applications  Network intrusion Detection  Security in Wireless networks  …

87 TCP/IP Security attacks (1)

88 TCP/IP Security attacks (2) SYN Flooding DDOS attack

89 Penetration Testing

90 Authenticated Key establishment and applications

91 Alice and Bob

92 Network Intrusion Detection

93 Security in Wireless Networks (1) VANETs

94 Security in Wireless Networks (2)

95 Security in Wireless Networks (3) Security in RFID systems

96 7. Ασφάλεια Κατανεμημένων Συστημάτων  “Hot” θέματα:  Security Domains  E-commerce transactions  E-voting/ e-auctions  Distributed Databases Security  Distributed File Systems Security  WS Security  Security and Privacy in Pervasive Computing Environments  Security and Privacy in Location-based Services (LBS)  Security in banking/health sector

97 Security Domains Kerberos

98 Ανεξιχνίαστα Ηλ. Μετρητά - Untraceable e-Cash •ή•ή •Online: ecash, Offline: CAFE •untraceable •Acquirer •Merchant •Buyer •Issuer •anonymously •sign •Check Issuer’s signature

99 Secure and Private e-Elections •Counting •Voting at Booth •Voting office •Tallying •Poll list •Voters •Identification by poll list •Voting Sheet • # slip •Secret voting •Observer/ •Administrator •Registration Μπορούμε να ψηφίζουμε μέσω Internet με Ασφάλεια και Ιδιωτικότητα;

100 Secure and Private e-Auctions •Bidders •Auctioneer •BBS •Public communication •channel •Bidding •Opening •Prime security issue • 1. Secrecy of bid value • 2. Anonymity of bidder

101 Distributed Databases Security Privacy-Preserving Data Mining (PPDM) •Client 1 •Client 2 •Client 3 •Client 4 •miner •data 1 •data 2 •data 3 •data 4 •data1 •data2 •data3 •data4

102 Security and Privacy in Pervasive Computing Environments (PCEs)

103 Security and Privacy in Location-based Services (LBS)

104 Security & Privacy in e-Health environments

105

106 8. Κοινωνικά Ζητήματα της Ασφάλειας  “Hot” θέματα:  User anonymity & Privacy  Freedom-of-Speech & Censorship  Security and Usability  Security Psychology  Security Economics  … Αλλά και:  Πνευματικά Δικαιώματα  Δεοντολογία  Κυβερνο-ηθική (Cyber-ethics)

107 User anonymity and Privacy (1)

108 User anonymity and Privacy (2)

109 User anonymity and Privacy (3)

110 Freedom-of-Speech & Censorship

111 Security and Usability To αρχείο πετάχτηκε; Ή καταστράφηκε;

112 Security and Usability

113 Security and Psychology Bruce Schneier: DIMACS Workshop on Information Security Economics, 2007

114 Security Economics

115 9. Διαχείριση Ασφάλειας Π.Σ.  “Hot” θέματα:  Ανάλυση και Διαχείριση Κινδύνου  Πολιτικές Ασφάλειας  Επιχειρησιακή συνέχεια  Πρότυπα διαχείρισης ασφάλειας  …

116 Πολιτικές Ασφάλειας •Πρότυπα •(Standards) •Γενική Πολιτικ ή •Πολιτικές Ειδικού Σκοπού •Διαδικασίες Ασφάλειας •Τεχνικά Εγχειρίδια, Οδηγίες •Γενικές Αρχές •Ειδικές Αρχές •Υλοποίηση Αρχών •Υφιστάμενος •Πληροφοριακός •Κίνδυνος •Συστάσεις •(Guidelines) •Οδηγίες •Νομοθεσία Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας», Πανεπιστήμιο Πειραιώς, 2009

117 Επιχειρησιακή συνέχεια •Hot site •Warm Site •Cold Site •Restore time •Cost

118 Πρότυπα Διαχείρισης Ασφάλειας

119 Διεπιστημονικότητα της Ασφάλειας  Πληροφορική  Δίκτυα, Προγραμματισμός  Λειτουργικά Συστήματα, Βάσεις Δεδομένων  Αρχιτεκτονική Η/Υ – Hardware  Human Computer Interaction (HCI)  Κρυπτογραφία  Άλγεβρα, θεωρία αριθμών, …  Κοινωνικές Επιστήμες  Διοίκηση Π.Σ. & ανθρώπινων πόρων  Ψυχολογία  Δίκαιο …


Κατέβασμα ppt "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2010-2011 Εξάμηνο: Η’ Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες Εμμανουήλ Μάγκος •http://di.ionio.gr/~emagos/security/lectures.html."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google