ΑΣΦΑΛΕΙΑ Η/Υ & ΔΙΚΤΥΩΝ Ο όρος “ασφάλεια υπολογιστών” αναφέρεται στο σύνολο των εργαλείων και διαδικασιών που έχουν σχεδιασθεί για την προστασία των ηλεκτρονικών δεδομένων Ο όρος “ασφάλεια δικτύων” αναφέρεται στα μέτρα προστασίας των δεδομένων κατά τη μεταφορά τους μέσω του δικτύου διασύνδεσης Στα πλαίσια της διαχείρισης ενός δικτύου, η διαχείριση ασφάλειας αναφέρεται στην παροχή ασφάλειας σε όλα τα στοιχεία του δικτύου, δηλαδή σε ασφάλεια υπολογιστών και ασφάλεια δικτύου Η απαραίτητη τεχνολογία που ουσιαστικά υπόκειται όλων των αυτοματοποιημένων εφαρμογών ασφάλειας δικτύου και υπολογιστών είναι η κρυπτογράφηση
Απαιτήσεις Ασφάλειας Η ασφάλεια υπολογιστών και δικτύων πρέπει να καλύπτει τις παρακάτω απαιτήσεις: α. Ακεραιότητα β. Αυθεντικότητα γ. Εγκυρότητα δ. Εμπιστευτικότητα ε. Διαθεσιμότητα
Απαιτήσεις Ασφάλειας Εμπιστευτικότητα: Απαιτείται τα αποθηκευμένα δεδομένα να είναι προσβάσιμα μόνο από εξουσιοδοτημένους χρήστες Ακεραιότητα: Απαιτείται τα δεδομένα και τα προγράμματα να μπορούν να τροποποιούνται μόνο από εξουσιοδοτημένους χρήστες. Η τροποποίηση περιλαμβάνει γράψιμο, αλλαγή, διαγραφή και δημιουργία Διαθεσιμότητα: Οι εξουσιοδοτημένοι χρήστες θα μπορούν να χρησιμοποιήσουν δεδομένα, προγράμματα και υπηρεσίες όταν το επιθυμήσουν Αυθεντικότητα: Εξασφάλιση ότι τα δεδομένα είναι απαλλαγμένα ατελειών και ανακριβειών κατά τις εξουσιοδοτημένες τροποποιήσεις Εγκυρότητα: Εξασφάλιση ότι τα δεδομένα είναι ακριβή και πλήρη
Προβλήματα Ασφάλειας Τα προβλήματα ασφάλειας προκύπτουν κυρίως για τους ακόλουθους λόγους: α. Λόγω εγγενούς αδυναμίας της τεχνολογίας που εφαρμόζεται. Παράδειγμα αποτελούν οι συχνές επιθέσεις με αποστολή πολλών μηνυμάτων SNMP, SMTP και SYN, τα οποία σχετίζονται με τη φύση του TCP/IP που δεν είναι ασφαλές πρωτόκολλο επικοινωνίας β. Λόγω αδυναμίας διαμόρφωσης της εφαρμοζόμενης τεχνολογίας. Για παράδειγμα αν δεν μπορούν να κρυπτογραφηθούν κατάλληλα τα περιεχόμενα των λογαριασμών των χρηστών, η πληροφορία που περιέχεται σε αυτούς μπορεί να μεταδοθεί χωρίς ασφάλεια εντός και εκτός του δικτύου, φανερώνοντας το όνομα του χρήστη και το συνθηματικό του σε κακόβουλους χρήστες
Προβλήματα Ασφάλειας γ. Λόγω αδυναμίας εφαρμογής μίας ενιαίας πολιτικής ασφαλείας. Πολιτική ασφαλείας ονομάζεται το σύνολο όλων των κανόνων και των διαδικασιών που ακολουθούνται προκειμένου να παρασχεθεί η μέγιστη προστασία στο δίκτυο ενός οργανισμού. Παραδείγματα τέτοιων αδυναμιών είναι: - Έλλειψη εφαρμογής από όλα τα τμήματα της επιχείρησης μίας ενιαίας και κοινής πολιτικής για την ασφάλεια - Έλλειψη προσωπικού για ζητήματα ασφάλειας - Χαλαρή διαχείριση ασφάλειας εκ μέρους του διαχειριστή του δικτύου, χωρίς έλεγχο των αρχείων καταχώρησης και των προειδοποιητικών μηνυμάτων που στέλνει το σύστημα - Αδιαφορία των χρηστών στην εφαρμογή της πολιτικής ασφάλειας
Επιθέσεις Τεράστια αύξηση των επιθέσεων από εισβολείς σε συστήματα πληροφορικής επιχειρήσεων, τραπεζών και οργανισμών με σκοπό την υποκλοπή σημαντικών πληροφοριών, προσωπικών δεδομένων και την παρεμπόδιση παροχής υπηρεσιών Οι επιθέσεις αυτές πραγματοποιούνται από ανθρώπους που διαθέτουν υψηλή γνώση όσον αφορά την τοπολογία των δικτύων, τη λειτουργία τους και τα πρωτόκολλα επικοινωνίας που χρησιμοποιούν Επιπλέον, διαθέτουν την τεχνογνωσία για να εξετάζουν τον κώδικα επικοινωνίας προκειμένου να ανακαλύψουν ατέλειες σε συγκεκριμένα προγράμματα
Επιθέσεις Οι επιθέσεις χωρίζονται στις εξής κατηγορίες: α. Παθητικές. Οι παθητικές επιθέσεις έχουν σαν στόχο την παρακολούθηση ή απόκρυψη της πληροφορίας που μεταδίδεται β. Ενεργητικές. Οι ενεργητικές επιθέσεις περιλαμβάνουν τροποποίηση της ροής δεδομένων ή τη δημιουργία μίας ψεύτικης ροής Η παγκόσμια εξάπλωση των TCP/IP δικτύων είναι ο λόγος που δέχονται τις περισσότερες επιθέσεις Ο διαχειριστής πρέπει να προστατεύει το δίκτυο που εποπτεύει από επιθέσεις τόσο από το εξωτερικό όσο και από το εσωτερικό του δικτύου
Μορφές Επιθέσεων Υποκλοπή. Πρόκειται για επίθεση κατά της μυστικότητας της πληροφορίας, όπου ο εισβολέας παρακολουθεί και υποκλέπτει την πληροφορία που μεταδίδεται. Συνήθως, στόχος του εισβολέα είναι να υποκλέψει το όνομα και το συνθηματικό κάποιου εξουσιοδοτημένου χρήστη ώστε στη συνέχεια να αποκτήσει πρόσβαση στο δίκτυο Τροποποίηση. Πρόκειται για επίθεση κατά της ακεραιότητας της πληροφορίας, όπου ο εισβολέας παρακολουθεί τη σύνοδο επικοινωνίας μεταξύ δύο οντοτήτων και αλλοιώνει τα δεδομένα που ανταλλάσσονται
Μορφές Επιθέσεων Μεταμφίεση. Πρόκειται για επίθεση κατά την οποία ο εισβολέας προσποιείται πως είναι μία διαφορετική οντότητα, όπως για π.χ. με τη χρήση μίας IP διεύθυνσης την οποία το δίκτυο θεωρεί ασφαλή Αντιποίηση. Ο χρήστης πιστεύει ότι αλληλεπιδρά με το σύστημα ή τον προτιθέμενο δικτυακό τόπο Αποκάλυψη συνθηματικών. Τα συνθηματικά μπορεί να αποκαλυφθούν είτε μέσω εξαντλητικής αναζήτησης είτε με χρήση λιστών με συχνά χρησιμοποιούμενα συνθηματικά. Οι επιθέσεις αυτές διευκολύνονται από τους γρήγορους υπολογιστές και τα γρήγορα δίκτυα
Μορφές Επιθέσεων Άρνηση υπηρεσίας. Πρόκειται για επίθεση από μία ή πολλές πηγές ταυτόχρονα, με σκοπό την άρνηση παροχής υπηρεσιών στους νόμιμους πελάτες του δικτύου. Οι εισβολείς υπερφορτώνουν το δίκτυο με αποστολή μηνυμάτων, έτσι ώστε να υποβαθμιστεί η απόδοση του δικτύου Ιοί. Οι ιοί και οι παραλλαγές τους τα “Τρωικά άλογα” και τα “Σκουλήκια” αποτελούν διαφορετικές εκδόσεις του ίδιου τύπου επίθεσης. Είναι προγράμματα λογισμικού που καταστρέφουν δεδομένα ή δεσμεύουν τους πόρους του συστήματος
Πιστοποίηση Ταυτότητας Συνθηματικό Αναγνώρισης Η πιο συνηθισμένη μορφή πιστοποίησης ταυτότητας είναι η πληκτρολόγηση από τον χρήστη κάποιας συνθηματικής λέξης Το συνθηματικό κρυπτογραφείται και συγκρίνεται με αυτά που έχουν αποθηκευτεί στο αρχείο συνθηματικών Το αρχείο συνθηματικών πρέπει να είναι ένα μη-προσβάσιμο κρυπτογραφημένο αρχείο Είναι σκόπιμο να χρησιμοποιούνται συνθηματικά με μεγάλο πλήθος χαρακτήρων και συνδυασμό γραμμάτων-αριθμών, τα οποία να αλλάζουν σε τακτικά χρονικά διαστήματα Τα συνθηματικά υποκλέπτονται σε κανάλια επικοινωνίας από το αρχείο συνθηματικών και όταν ο χρήστης τα εισάγει σε προγράμματα που αναπαράγουν τη διεπαφή του συστήματος
Πιστοποίηση Ταυτότητας Διακριτικά Μνήμης Τα απλά διακριτικά μνήμης είναι συνήθως κάρτες με μαγνητική ταινία όπου αποθηκεύεται η ταυτότητα του χρήστη Τα εξελιγμένα διακριτικά μνήμης ενσωματώνουν ολοκληρωμένα κυκλώματα επεξεργασίας Ο χρήστης πιστοποιεί τον εαυτό του στο διακριτικό, εισάγοντας ένα συνθηματικό ή έναν προσωπικό αριθμό αναγνώρισης Σε περίπτωση εξελιγμένου διακριτικού το υπολογιστικό σύστημα ανταλλάσσει ταυτότητες με το διακριτικό και στέλνει στο διακριτικό έναν κωδικό, τον οποίο το διακριτικό επεξεργάζεται και επιστρέφει την απάντηση στο σύστημα Το σύστημα ελέγχει αν πρόκειται για παραδεκτή απάντηση από το συγκεκριμένο διακριτικό. Αν ναι, η ταυτότητα του χρήστη έχει επιβεβαιωθεί
Πιστοποίηση Ταυτότητας Διακριτικά Μνήμης Μεγαλύτερη ασφάλεια Στην περίπτωση των εξελιγμένων διακριτικών ο κίνδυνος παραχάραξης είναι πολύ μικρός λόγω της πολυπλοκότητας των κυκλωμάτων Απαίτηση για εξειδικευμένες συσκευές αναγνώρισης Αυξημένο διαχειριστικό και οικονομικό κόστος Απώλεια πρόσβασης σε περίπτωση που χαθεί Οι χρήστες δεν αποδέχονται πάντα τη χρησιμοποίηση των
Ιοί Ο “ιός” είναι πρόγραμμα που γράφτηκε ειδικά για να εισέρχεται σε συστήματα χωρίς να το ξέρει ή να το επιτρέψει ο ιδιοκτήτης/χρήστης του συστήματος Μετά την επιτυχή είσοδό του στο σύστημα, ο ιός προβαίνει σε ανεπιθύμητες ενέργειες όπως: α. Αναπαραγωγή β. Υποβάθμιση της απόδοσης του συστήματος γ. Καταστροφή/φθορά δεδομένων Η συμπεριφορά των ιών διακρίνεται στη φάση μόλυνσης και στη φάση επίθεσης Μέχρι στιγμής έχουν καταγραφεί πάνω από 60000 ιοί παγκοσμίως
Συμπεριφορά Ιών Φάση Μόλυνσης Οι συγγραφείς ιών αντισταθμίζουν την αμεσότητα και αποτελεσματικότητα της μόλυνσης με την ευκολία αποκάλυψης του ιού α. Μπορεί να μολύνει αμέσως β. Παραμένει στη μνήμη και μπορεί να μολύνει όταν πληρείται κάποια συνθήκη (χρονική, πλήθος εκτελέσεων, εξωτερικά συμβάντα) Οι παραμένοντες ιοί φροντίζουν να προφυλάσσονται από την ανίχνευση με διάφορες τεχνικές απόκρυψης Αντιθέτως, τα σκουλήκια διαδίδονται αμέσως
Συμπεριφορά Ιών Φάση Επίθεσης Η φάση επίθεσης εκδηλώνεται συνήθως με τους παρακάτω τρόπους: α. Κατανάλωση πόρων συστήματος και υποβάθμιση της απόδοσης του β. Διαγραφή ή παραφθορά αρχείων γ. Αναπαραγωγή μηνυμάτων δ. Αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου προς ομάδες παραληπτών, χωρίς τη θέληση του χρήστη του συστήματος
Ιοί Τρόποι Αντιμετώπισης Ρυθμίζουμε τον υπολογιστή στο μέγιστο επίπεδο ασφάλειας, κυρίως για προγράμματα πλοήγησης και ηλεκτρονικού ταχυδρομείου Τα δεδομένα τα επεξεργαζόμαστε μόνο με συγκεκριμένα και ελεγμένα προγράμματα Δεν κατεβάζουμε-εκτελούμε αρχεία συνημμένα σε ύποπτα μηνύματα ή από αμφιβόλου αξιοπιστίας ιστοχώρους ή από newsgroups Κρατάμε τακτικά εφεδρικά αντίγραφα και τα διατηρούμε για πολύ καιρό Χρησιμοποιούμε ειδικό λογισμικό αντιμετώπισης ιών Τακτικός έλεγχος του συστήματος για ύπαρξη ιών
Εργαλεία Αντιμετώπισης Ιοί Εργαλεία Αντιμετώπισης Συνήθως, τα προγράμματα ανίχνευσης ιών χρησιμοποιούν τη μέθοδο του εντοπισμού «υπογραφών» Ο εντοπισμός «υπογραφών» επιχειρεί να βρει ακολουθίες bytes που είναι γνωστό ότι ανήκουν σε ιούς ή οικογένειες ιών Οι υπογραφές συλλέγονται από μολυσμένα αρχεία Βρίσκουν μόνο τους ιούς που ήταν γνωστοί κατά την ανάπτυξη του εργαλείου Πρέπει να ανανεώνονται συνέχεια με νέες εκδόσεις Οι χρήστες παρανοούν το “δεν ανιχνεύθηκε ιός” πιστεύοντας ότι σημαίνει “δεν υπάρχει ιός” Τα καλά συντηρούμενα συστήματα εντοπίζουν άνω του 95% των ιών Εύκολη εγκατάσταση ακόμη και για τους απλούς χρήστες
Λύσεις Ασφάλειας Κρυπτογράφηση. Με την κρυπτογράφηση προστατεύεται η πληροφορία που ανταλλάσσεται σε μία σύνοδο επικοινωνίας μεταξύ των χρηστών Πιστοποίηση και Εξουσιοδότηση. Με την πιστοποίηση βεβαιώνεται η ταυτότητα ενός χρήστη, ενώ με την εξουσιοδότηση δίνεται η άδεια χρήσης μίας συγκεκριμένης υπηρεσίας Συχνή αλλαγή συνθηματικών. Αποτελεί μία γενική πολιτική ασφαλείας που πρέπει να ακολουθείται από όλους τους χρήστες και τους διαχειριστές συστημάτων
Λύσεις Ασφάλειας Απόκρυψη διευθύνσεων. Αποκρύπτεται η πραγματική διεύθυνση ενός χρήστη Παρεμπόδιση εκτέλεσης εφαρμογών. Η παρεμπόδιση εκτέλεσης κάποιων εφαρμογών (π.χ. cookies, java applets) εμποδίζει τη διάδοση προγραμμάτων ιών Φιλτράρισμα πληροφορίας. Η τεχνική αυτή χρησιμοποιείται για την παρεμπόδιση εισόδου δεδομένων προς το εσωτερικό μέρος του δικτύου, αλλά και δεδομένων που προορίζονται για το εξωτερικό μέρος Χρήση προγραμμάτων εξουδετέρωσης ιών. Αποτελεί μία κοινή τακτική για την ανίχνευση και εξουδετέρωση των προγραμμάτων ιών
Λύσεις Ασφαλείας Λύσεις ασφαλείας προτείνονται σε κάθε επίπεδο της πρωτοκολλικής στοίβας α. Στο επίπεδο διασύνδεσης δεδομένων για την πιστοποίηση της ταυτότητας, της εξουσιοδότησης και της χρέωσης των χρηστών προτείνεται η ΑΑΑ (Authentication Authorization και Accounting) λύση β. Στο επίπεδο δικτύου προτείνεται η απόκρυψη διευθύνσεων δικτύου, η χρήση λιστών πρόσβασης και συστημάτων διαχείρισης ασφάλειας γ. Στο επίπεδο εφαρμογής προτείνεται η κρυπτογράφηση των δεδομένων και η μεταφορά τους με χρήση πρωτοκόλλων ασφάλειας δεδομένων