Θέματα Ασφάλειας στο ΗΕ Ηλεκτρονικό Εμπόριο Θέματα Ασφάλειας στο ΗΕ Δρ Μαρία Νταλιάνη

Παράγοντες προβλημάτων ασφάλειας Τρωτή σχεδίαση Διαδικτύου Αλλαγή κατεύθυνσης εγκλημάτων Υπόγειο Διαδίκτυο Η δυναμική φύση των συστημάτων ΗΕ και ο ρόλος των εσωτερικών εγκληματιών

Τρωτή σχεδίαση Διαδικτύου Ανάπτυξη για: Επικοινωνία ανάμεσα στα μέλη μιας ανοικτής κοινότητας: παγκόσμια, ασυντόνιστη, εκτός ελέγχου Παροχή μέγιστης αποδοτικότητας: εξασφάλιση σωστής αποστολής και λήψης μηνύματος και όχι πιστοποίησης & ελέγχου πρόσβασης χρήστη Σύστημα DNS

Αλλαγή κατεύθυνσης εγκλημάτων Αρχές ΗΕ απάτες για: αύξηση φήμης, καταστροφή ιστοτόπων ή πρόσβαση σε δίκτυα Σήμερα ο στόχος είναι το κέρδος: κλοπή προσωπικών πληροφοριών (αριθμοί πιστωτικών καρτών, ταυτοτήτων, κωδικοί πρόσβασης Παράδειγμα: κυβερνοεκβιασμοί σε εταιρία επεξεργασίας η-πληρωμών StormPay: διακοπή εργασιών για 2 ημέρες/3 εκατ πελάτες Κλεμμένα δεδομένα πωλούνται σε τεράστιες παράνομες αγορές

Υπόγεια οικονομία του Διαδικτύου Ηλεκτρονικές θέσεις αγορών για κλεμμένες πληροφορίες: χιλιάδες, τεράστια ποσά Δημοφιλής μέθοδος η καταγραφή πληκτρολογήσεων (keylogging) (λογισμικό, υλικό,

Software-based keyloggers

Hardware-based keyloggers

Η δυναμική φύση των συστημάτων ΗΕ & ο ρόλος των εσωτερικών εγκληματιών Καινοτομίες και νέα προβλήματα ασφάλειας: Κοινωνικά δίκτυα Ασύρματα συστήματα 50% εγκλημάτων από εσωτερικούς υπαλλήλους

Στρατηγική ασφάλειας ΗΕ Απειλές: εκούσιες & ακούσιες Άμυνα Διοίκηση

Ακούσιες Απειλές Ανθρώπινο σφάλμα: σχεδίαση συστήματος ή υλικού, προγραμματισμός, συλλογή δεδομένων, αμέλεια ή παρανόηση Περιβαλλοντικοί κίνδυνοι Ατέλειες του υπολογιστικού συστήματος: κατασκευαστικό σφάλμα, αστοχία υλικού

Εκούσιες Κλοπή/ ακατάλληλη χρήση δεδομένων, κλοπή φορητών Η/Υ και εξοπλισμού ή προγραμμάτων, καταστροφή από ιούς, απάτες στο Διαδίκτυο, ηθελημένο χειρισμό της διαχείρισης/εισαγωγής/ επεξεργασίας/μεταφοράς/προγραμματισμού δεδομένων Κοινωνική τεχνολογία: συλλογή τακτικών ώστε υπάλληλοι μιας εταιρίας να πράττουν ενέργειες ή να αποκαλύπτουν εμπιστευτικές πληροφορίες Παράδειγμα-Λογισμικό εκφοβισμού (scareware): φόρτωση κακόβουλου κώδικα που εμφανίζεται σαν εφαρμογή διασφάλισης ασφάλειας

Τρωτότητα 4/5 πρώτες τρωτότητες σε εφαρμογές Web Π.χ. ιατρικοί φάκελοι από διαρροές Ρ2Ρ η-Ταχυδρομείο: από τις ευκολότερες επιθέσεις-Palin

Παράδειγμα εισαγωγής στοιχείων σε η- κατάστημα: τι προβλήματα ασφάλειας αντιμετωπίζει ο χρήστης ή η εταιρία;

Λύσεις;;;

Απαιτήσεις ασφάλειας ΗΕ Πιστοποίηση αυθεντικότητας: επαλήθευση πραγματικής ταυτότητας μιας οντότητας (άτομο, Η/Υ, πρόγραμμα, ιστοθέση) Εξουσιοδότηση: προσπέλασης/ εκτέλεσης λειτουργιών μετά από πιστοποίηση αυθεντικότητας Επιθεώρηση: καταγραφή σε αρχείο των ενεργειών προσπέλασης (τι, πότε από ποιον)- ανακατασκευή ενεργειών

Απαιτήσεις ασφάλειας ΗΕ Διαθεσιμότητα: εξισορρόπηση φόρτου υλικού και λογισμικού ώστε οι υπηρεσίες πληροφόρησης/ επικοινωνίας να είναι διαθέσιμες Μη αποκήρυξη: διασφαλίζει ότι ο πελάτης δεν μπορεί να αρνηθεί την αγορά/ συναλλαγή/υποχρέωση Πελάτης: απόδειξη παράδοσης Εταιρία: απόδειξη με ταυτότητα πελάτη Χρήση ψηφιακών υπογραφών ή πιστοποιητικών

Επιθέσεις Τεχνικές: γνώση συστημάτων/ λογισμικού Μη τεχνικές: απάτη/ πειθώ Συνδυασμός

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Ρυθμός έκδοσης κακόβουλου κώδικα μεγαλύτερος από έγκυρων εφαρμογών Το 2007 παρήχθηκε όσος κακόβουλος κώδικας έχει παραχθεί τα προηγούμενα 20 χρόνια

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Ιοί (virus): ενεργοποιούνται από την εκτέλεση του προγράμματος ξενιστή

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Σκουλήκια (worms): εκτελείται ανεξάρτητα, χωρίς ανθρώπινη παρέμβαση, χρησιμοποιούν τα δίκτυα για τη διάδοσή τους Koobface (2009) Η μέθοδος των worm δίνει στο διαδικτυακό έγκλημα ετησίως περίπου 1 τρισεκατομμύριο ευρώ

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Ιός ή σκουλήκι μακροεντολής (macro virus/ worm): εκτελούνται όταν ανοίγει ένα αντικείμενο εφαρμογής που περιέχει τη μακροεντολή ή εκτελείται μια συγκεκριμένη διαδικασία

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Δούρειος ίππος (trojan horse): πρόγραμμα που φαίνεται να εκτελεί χρήσιμη λειτουργία αλλά περιέχει επικίνδυνη κρυφή συνάρτηση Πολλά είδη: σημαντικό ο έλεγχος άλλου υπολογιστή μέσω διαδικτύου/ πρόγραμμα διακομιστή και πρόγραμμα πελάτη Τραπεζικός δούρειος ίππος: ζωντανεύει όταν προσπελαύνονται τραπεζικοί ιστότοποι

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Άρνηση παροχής υπηρεσιών (DOS): ένα σύστημα βομβαρδίζεται από αιτήσεις για υπηρεσίες/πρόσβαση και καταρρέει ή δεν μπορεί να ανταποκριθεί Πακέτα δεδομένων για υπερφόρτωση υπολογιστή Χρήση υπολογιστών ζόμπι: το παράδειγμα της SCO-12 ημέρες επίθεση Η διακοπή αυτών των επιθέσεων δύσκολη Παράδειγμα: προστασία για στοιχήματα αθλημάτων/Ρωσία, ΗΒ

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Πειρατεία διακομιστή web και ιστοσελίδας: έλεγχος ή ανακατεύθυνση χρηστών σε ιστοθέσεις scam ή phishing Χρήση εικονικών σελίδων που ανήκουν σε άλλο χρήστη/εταιρία για εκτοπισμό ιστοθέσης από μηχανές αναζήτησης Τεράστια χρηματικά ποσά κλέβονται Παράδειγμα: η απάτη με τις πιστωτικές – έκρηξη στο Μπαλί

Τεχνικές επιθέσεις: κακόβουλος κώδικας (malware) Botnet: τεράστιος αριθμός υπολογιστών στο Διαδίκτυο που έχουν υποστεί πειρατεία και προωθούν κίνηση (spam, virus) Bots & botmasters Παράδειγμα ο ιός email MyDoom Παράδειγμα bots: χρεώσεις διαφημιστών ανά κλικ

Μη Τεχνικές επιθέσεις: Phishing Λήψη εμπιστευτικών πληροφοριών μέσω «μεταμφίεσης» σε μια αξιόπιστη οντότητα Εισαγωγή στοιχείων σε μια πλαστή ιστοθέση

Μη Τεχνικές επιθέσεις: Phishing Universal man in the middle phishing kit: εργαλείο που πωλείται μέσω φόρουμ-καθορίζει URL που μπορεί να αλληλεπιδράσει σε πραγματικό χρόνο με το περιβάλλον νόμιμης ιστοθέσης&να υποκλέψει δεδομένα

Απάτες: Κλοπή Ταυτότητας Το σημαντικότερο πρόβλημα των πελατών ΗΕ:10 εκατ. Άτομα έχασαν 48 δισ $ (Αμερική, 2009) Οικονομική Επιχειρηματική Εγκληματική Πλύσιμο μαύρου χρήματος

Απάτες: Spam Περισσότερα από 100 δις email/ ημέρα (2008) 80% στέλνεται από 200 spammers 20% αφορά μετοχές Blog spams: αυτόματα παραγόμενα σχόλια από bots Spam μηχανών αναζήτησης: σελίδες που προσπαθούν να εξαπατήσουν τις μηχανές αναζήτησης ώστε να παρέχουν κακής ποιότητας αποτελέσματα / τεχνητή βελτίωση κατάταξης σελίδας

Απάτες: Spam Splogs: blog για μάρκετινγκ που συνδέονται με ιστοσελίδα spammer, αύξηση κατάταξης Spam εικόνων: διαφεύγει από προγράμματα antispam που ψάχνουν μόνο για κείμενο

Η Google δίνει προσωπικά δεδομένα των χρηστών της (8.9.11)

Κοινωνική δικτύωση Το χρυσωρυχείο των προσωπικών πληροφοριών Facebook, MySpace, YouTube, wikis, forum Παράδειγμα Rand/ 1340 έμπιστες συνδέσεις μέσα σε λίγες εβδομάδες στο Linkendin

Μοντέλο Διασφάλισης Πληροφοριών-Τριάδα CIA Εμπιστευτικότητα: απόρρητο δεδομένων μέσω κρυπτογράφησης Ακεραιότητα: ακρίβεια/ μη τροποποίηση δεδομένων Διαθεσιμότητα: πρόσβαση στα δεδομένα έγκαιρα, αξιόπιστα και σε εξουσιοδοτημένους χρήστες

Κρυπτογράφηση Διαδικασία μετασχηματισμού δεδομένων Συστατικά κρυπτογράφησης: Ακρυπτογράφητο κείμενο Αλγόριθμος κρυπτογράφησης Κλειδί Χώρος κλειδιού Κρυπτοκείμενο

Κρυπτογράφηση Συμμετρικού (Ιδιωτικού) Κλειδιού Χρήση του ίδιου κλειδιού για κρυπτογράφηση και αποκρυπτογράφηση από αποστολέα και παραλήπτη Μήκος του κλειδιού (bits): ο κύριος παράγοντας διασφάλισης του μηνύματος Κλειδί 64-bit χρειάζεται 60 έτη για να βρεθεί με έλεγχο 10 εκατ. κλειδών/δευτερόλεπτο

Κρυπτογράφηση Δημόσιου (Ασύμμετρου) Κλειδιού (PKI) Ζεύγος κλειδιών: δημόσιο και ιδιωτικό Σημαντικό πρόβλημα: πιο αργοί από τους συμμετρικούς, δεν είναι αποδοτικοί για μεγάλο όγκο δεδομένων Στην πράξη συνδυασμός συμμετρικής και ασύμμετρης κρυπτογράφησης Συμπλήρωση ασύμμετρης κρυπτογράφησης από ψηφιακές υπογραφές, αρχές πιστοποίησης και SSL

Ψηφιακές υπογραφές Ψηφιακές υπογραφές: ηλεκτρονικό ισοδύναμο προσωπικής υπογραφής Βασίζονται στα δημόσια κλειδιά για πιστοποίηση της ταυτότητας του αποστολέα μηνύματος ή μη τροποποίησης του αρχικού μηνύματος Πλεονεκτήματα: είναι φορητές, δεν μπορούν να αποκηρυχθούν ή να πλαστογραφηθούν εύκολα, χρονοσφραγίζονται, έχουν ίδια νομική ισχύ με τις παραδοσιακές

Αποκρυπτογράφηση με το δημόσιο κλειδί του παραλήπτη Δημιουργία ψηφιακού φακέλου κρυπτογραφημένου με το δημόσιο κλειδί του παραλήπτη

Αρχές πιστοποίησης Τρίτες οντότητες που εκδίδουν ψηφιακά πιστοποιητικά (όνομα κατόχου, πληροφορίες δημόσιου κλειδιού κλπ) Πιστοποιητικά ιστοθέσεων, ατόμων και εκδοτών λογισμικού

Secure Socket Layer (SSL)/ Transport Layer Security (TLS) Πρωτόκολλα που χρησιμοποιούνται από web browsers/ servers- Netscape, Microsoft: για να χρησιμοποιεί πρότυπα πιστοποιητικά για πιστοποίηση αυθεντικότητας και κρυπτογράφηση δεδομένων Είναι το κύριο πρότυπο για η-πληρωμές με πιστωτικές

Προστασία ροής πληροφοριών μέσα σε οργανισμούς: Firewalls Κόμβος ενός δικτύου από λογισμικό και υλικό που απομονώνει ένα ιδιωτικό από ένα δημόσιο δίκτυο εξετάζοντας τα πακέτα δεδομένων που περνούν από αυτόν Προσωπικά firewall: προστατεύουν επιτραπέζια συστήματα παρακολουθώντας την κίνηση που περνά από κάρτα σύνδεσης δικτύου του υπολογιστή Φιλτράρισμα πακέτων από χρήστη Ερωτήσεις από firewall στον χρήστη για χειρισμό των πακέτων

Προστασία ροής πληροφοριών μέσα σε οργανισμούς: Εικονικό ιδιωτικό δίκτυο Επιτρέπει σε χρήστη να προσπελάσει ένα δίκτυο διαφορετικής διεύθυνσης IP από αυτή που προσπελαύνει με τον υπολογιστή του το Διαδίκτυο Το ΕΙΔ Χρησιμοποιεί το Διαδίκτυο για μεταφορά πληροφοριών αλλά παραμένει ιδιωτικό μέσω συνδυασμού κρυπτογράφησης Υποστηρίζει επικοινωνίες ιστοθέσης προς ιστοθέση, υποκαταστημάτων με κεντρικά γραφεία, κ-εργαζομένων με χώρο εργασίας Έχει πολύ μειωμένο κόστος και χρησιμοποιεί μια μόνο γραμμή πρόσβασης για υποστήριξη πολλαπλών εργασιών Σηράγγωση πρωτοκόλλου (protocol tunneling): τα πακέτα δεδομένων πρώτα κρυπτογραφούνται, έπειτα ενθυλακώνονται σε πακέτα που αποστέλλονται μέσω του Διαδικτύου

Προστασία ροής πληροφοριών μέσα σε οργανισμούς: Συστήματα ανίχνευσης εισβολής (IDS) Λογισμικό ή/και υλικό που ανιχνεύει παράνομες προσπάθειες προσπέλασης/ χειρισμού/ απενεργοποίησης συστημάτων υπολογιστών μέσω ενός δικτύου Ανίχνευση διαφόρων τύπων κακόβουλων ενεργειών Δεν ανιχνεύει άμεσα επιθέσεις μέσα σε κρυπτογραφημένες κινήσεις Συχνός έλεγχος αρχείων για συμφωνία υπογραφών με προηγούμενες Έχει σύστημα παρακολούθησης (λογισμικό σάρωσης του δικτύου) και πράκτορες λογισμικού που ελέγχουν τα πακέτα δεδομένων

Ανάλυση επίθεσης μέσω του δικτύου παγίδα Προστασία ροής πληροφοριών μέσα σε οργανισμούς: Δίκτυα παγίδες (honeynets) Δίκτυα που προσελκύουν εισβολείς με θέσεις παγίδες (firewalls, δρομολογητές, διακομιστές web) Ανάλυση επίθεσης μέσω του δικτύου παγίδα