Υπηρεσίες Ασφάλειας & Έλεγχος Πρόσβασης

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
UNIX.
Advertisements

Παρουσίαση λειτουργίας εφαρμογής extra Διαχείριση Ταμείου
ShareIt Social Network Project Simos Hatzikostas: Manolhs Georgiou: Theodoros Demetriou:
ΕΙΣΑΓΩΓΗ ΣΤΑ ΔΙΚΤΥΑ ΕΠΙΚΟΙΝΩΝΙΑΣ
Το πρόβλημα της ασφάλειας Προστασία είναι ο μηχανισμός για έλεγχο πρόσβασης προγραμμάτων, διεργασιών ή χρηστών στους πόρους ενός Η/Υ. Αυτό δουλεύει όσο.
ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΙΝΗΣΗ ΑΓΑΘΩΝ & ΚΡΥΠΤΟΓΡΑΦΙΑ ΑΘΑΝΑΣΙΟΣ ΒΑΣΙΛΟΠΟΥΛΟΣ - ΓΟΥΤΑΣ ΔΗΜΗΤΡΙΟΣ PeLAB - Τμ. Η.Υ.Σ. - Τ.Ε.Ι. ΠΕΙΡΑΙΑ : Μάρτιος 1998.
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ και ΔΙΚΤΥΩΝ  Προστασία Πληροφοριών • Εξωτερικό • Εσωτερικό • Διαθεσιμότητα • Ακεραιότητα • ……
-Στοίβα-Ουρά - Πλεονεκτήματα πινάκων -Δομές δεδομένων δευτερεύουσας μνήμης -Πληροφορική και δεδομένα -Παραδείγματα-Προβλήματα ψευδοκώδικα.
Λειτουργικό Σύστημα 2ο μέρος.
Σελ. 1 Ε.2.2 Υπηρεσίες – Λειτουργία Helpdesk Καταχώρηση και παρακολούθηση αιτημάτων μέσω web Ε Καταχώρηση αιτημάτων υποστήριξης.
ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ
© ENERANET IT SYSTEMS    Tel: Προστασία από κλοπή δεδομένων.
Κεφάλαιο 6 Υλοποίηση Γλωσσών Προγραμματισμού
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
 Αυδίκου Χριστίνα  Γιουμούκης Παναγιώτης  Κιντσάκης Θάνος  Πάπιστας Γιάννης.
Δ.Π.Θ. Συνδέοντας έγγραφα - 1 Συνδέοντας έγγραφα Μια σύνδεση στο Web (link) αποτελείται από δύο μέρη : Aυτό που βλέπουμε στη σελίδα και λέγεται άγκυρα.
Καλώς ήρθατε ! Ετοιμάζεστε να παρακολουθήσετε την παρουσίαση της εφαρμογής Copyright © iBS LTD, all rights reserved.
Σελίδα 1 ΕΚΠΑ. «Διαμόρφωση υπηρεσίας καταλόγου Active Directory σε Windows 2003» Τηλέμαχος Ράπτης Εθνικό και Καποδιστριακό.
Η Μέθοδος RSA  Υποθέτουμε πως δυο άτομα ο Α και ο Β θέλουν να ανταλλάξουν μεταξύ τους κάποιο μήνυμα Μ, το οποίο θέλουν να κρυπτογραφήσουν για λόγους ασφαλείας.
Εισαγωγικές Έννοιες Διδάσκοντες: Σ. Ζάχος, Δ. Φωτάκης Επιμέλεια διαφανειών: Δ. Φωτάκης Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών Εθνικό Μετσόβιο.
Έλεγχος Πρόσβασης σε Δεδομένα: Νέες Προκλήσεις και Λύσεις Νίκος Φωτίου Εργαστήριο Ασυρμάτων Δικτύων και Πολυμεσικών Επικοινωνιών.
1 Εισαγωγή στις Βάσεις Δεδομένων  Ανάγκη Αποθήκευσης και Διαχείρισης Δεδομένων  Συστήματα Αρχείων  Συστήματα Βάσεων Δεδομένων  Παραδοσιακές και Σύγχρονες.
Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών.
ΣΧΕΣΙΑΚΟ ΜΟΝΤΕΛΟ ΜΑΘΗΜΑ 3.
Είσοδο στο σύστημα της Διαύγειας μπορεί να κάνει : Ο εγγεγραμμένος πολίτης Ο χρήστης ενός Δημόσιου φορέα Εγγραφή στο σύστημα ο πολίτης κάνει από την επιλογή.
Υπηρεσίες δικτύων επικοινωνίας
ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΚΑΙ Η/Υ
Διαδίκτυο Κίκα Χρυσοστόμου. Πρωτόκολλο https: HyperText Transfer Protocol Secure Χρησιμοποιείται για ασφαλή επικοινωνία Π.χ μια ασφαλή ιστοσελίδα που.
1 Εισαγωγή στις Βάσεις Δεδομένων  Ανάγκη Αποθήκευσης και Διαχείρισης Δεδομένων  Συστήματα Αρχείων  Συστήματα Βάσεων Δεδομένων  Παραδοσιακές και Σύγχρονες.
Ασφάλεια δικτύων.
ΘΕΜΑΤΙΚΗ ΕΝΟΤΗΤΑ 2: ΘΕΜΑΤΑ ΘΕΩΡΗΤΙΚΗΣ ΕΠΙΣΤΗΜΗΣ Η/Υ
Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Η’ Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα Γ: Απομακρυσμένη Αυθεντικοποίηση.
Δομές Δεδομένων.
SYSTEM REQUIREMENTS FUNCTIONAL & NON-FUNCTIONAL REQUIREMENTS.
Επικοινωνία Ανθρώπου Μηχανής HTML CGI JAVASCRIPT Κουμπούλης Χρήστος Α.Μ. 921 Χαλαβαζής Βασίλης Α.Μ. 988.
Άσκηση 6 Ασφάλεια Δικτύων.
ΘΕΜΑΤΙΚΗ ΕΝΟΤΗΤΑ 2: ΘΕΜΑΤΑ ΘΕΩΡΗΤΙΚΗΣ ΕΠΙΣΤΗΜΗΣ Η/Υ
Εισαγωγή στην Κρυπτογραφία
Βάσεις Δεδομένων Ευαγγελία Πιτουρά 1 Εισαγωγή στην Επεξεργασία Ερωτήσεων.
Τεχνολογία TCP/IP TCP/IP internet είναι ένα οποιοδήποτε δίκτυο το οποίο χρησιμοποιεί τα πρωτόκολλα TCP/IP. Διαδίκτυο (Internet) είναι το μεγαλύτερο δίκτυο.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Storage management and caching in PAST, a large-scale persistent peer- to-peer storage utility Antony Rowstron – Peter Druschel Κατανεμημένα Συστήματα.
Μπόλαρη Αγγελικη(1451) Επιβλέπων Βολογιαννίδης Σταύρος ΑΤΕΙ ΣΕΡΡΩΝ ΣΧΟΛΗ ΤΕΧΝΟΛΟΓΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΕΠΙΚΟΙΝΩΝΙΩΝ Σέρρες 2013.
Κρυφή μνήμη (cache memory) (1/2) Εισαγωγή στην Πληροφορκή1 Η κρυφή μνήμη είναι μία πολύ γρήγορη μνήμη – πιο γρήγορη από την κύρια μνήμη – αλλά πιο αργή.
Διοίκηση Επιχειρήσεων Βάσεις Δεδομένων και Ευφυή Πληροφοριακά Συστήματα Επιχειρηματικότητας Βάσεις Δεδομένων και Ευφυή Πληροφοριακά Συστήματα Επιχειρηματικότητας.
Εγγραφή στην πλατφόρμα του eclass. Πιστοποίηση μέσω UPnet Η είσοδός σας στην πλατφόρμα του eclass προϋποθέτει την ύπαρξη λογαριασμού της μορφής
Η Κρυπτογραφία στην ζωή μας. Η Κρυπτογραφία ασχολείται με την μελέτη της ασφαλούς επικοινωνίας. Ο κύριος στόχος της είναι να παρέχει μηχανισμούς για 2.
 Στόχος της παρουσίασης αυτής είναι η εξοικείωση με τον Ηλεκτρονικό Κατάλογο της Βιβλιοθήκης προκειμένου να αναζητήσουμε ένα τεκμήριο από τη συλλογή.
Η Πύλη eTwinning.net Εργαλεία για την κοινωνική δικτύωση και την επικοινωνία των εκπαιδευτικών Εργαλεία διαχείρισης ενός έργου eTwinning.
Λειτουργικά Συστήματα Κεφ2.2- Ασφάλεια Συστήματος 1
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Πρωτόκολλα Ασφάλειας στο Διαδίκτυο (1)
Προχωρημένα Θέματα Δικτύων
ΤΙΤΛΟΣ ΕΡΓΑΣΙΑΣ ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ Ανδρέου Βασίλης.
ΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΣΤΗ ΔΙΑΧΕΙΡΙΣΗ ΤΕΧΝΙΚΩΝ ΕΡΓΩΝ
Cloud Computing Το cloud computing παρέχει υπηρεσίες υπολογισμού, λογισμικού, πρόσβασης σε δεδομένα και αποθήκευσης που δεν απαιτούν ο τελικός χρήστης.
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
ΑΣΦΑΛΕΙΑ Η/Υ & ΔΙΚΤΥΩΝ Ο όρος “ασφάλεια υπολογιστών” αναφέρεται στο σύνολο των εργαλείων και διαδικασιών που έχουν σχεδιασθεί για την προστασία των ηλεκτρονικών.
ΑΣΦΑΛΕΙΑ ΙΑΤΡΙΚΩΝ ΔΕΔΟΜΕΝΩΝ
Ασφάλεια & Επικινδυνότητα Πληροφοριακού Συστήματος
Αρχεσ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ Η/Υ ΤΑξη Β΄
Αµοιβαίος αποκλεισµός
Λύσεις Ασφάλειας στο Επίπεδο Διασύνδεσης
Το μοντέλο πελάτη - εξυπηρετητή
ΣΥΓΧΡΟΝΑ ΛΕΙΤΟΥΡΓΙΚΑ ΣΥΣΤΗΜΑΤΑ Τρίτη Έκδοση ANDREW S
Δυναμικός Κατακερματισμός
Μεταγράφημα παρουσίασης:

Υπηρεσίες Ασφάλειας & Έλεγχος Πρόσβασης Διάλεξη στις 01.03.2010 Δρ. Χρήστος Αναγνωστόπουλος (bleu@di.uoa.gr)

Υπηρεσίες Ασφάλειας κατά O.S.I. Αυθεντικοποίηση (Authentication) Έλεγχος Πρόσβασης (Access Control) Εμπιστευτικότητα (Confidentiality) Ακεραιότητα (Integrity) Μη αποποίηση (Non repudiation) Διαθεσιμότητα (Availability)

Μηχανισμοί Ασφάλειας κατά O.S.I. Κρυπτογραφία (Encipherment) Ψηφιακές Υπογραφές (Digital Signatures) Ελέγχου Πρόσβασης (Access Control) Ακεραιότητας Δεδομένων (Data Integrity) Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange) Εμβόλιμης Κίνησης (Traffic Padding) Ελέγχου Δρομολόγησης (Routing Control) Συμβολαιογραφίας (Notarization)

Μηχανισμοί Ασφάλειας κατά O.S.I. Κρυπτογραφία (Encipherment) Εμπιστευτικότητα. Συνεπικουρεί και σε άλλους μηχανισμούς. Ψηφιακές Υπογραφές (Digital Signatures) Επικύρωση ακεραιότητας. Αποτροπή αποποίησης αποστολής. Αυθεντικοποίηση. Ελέγχου Πρόσβασης (Access Control) Έλεγχος προσπέλασης σε πόρους και αγαθά. Εξουσιοδότηση. Χρήση μηχανισμών αυθεντικοποίησης.

Μηχανισμοί Ασφάλειας κατά O.S.I. Ακεραιότητας Δεδομένων (Data Integrity) Αποτροπή τροποποίησης δεδομένων που μεταδίδονται Ανταλλαγής Αυθεντικοποίησης (Authentication Exchange) Επιβεβαίωση ταυτότητας οντοτήτων Ισχυρή (κρυπτογραφία) vs. Μη ισχυρή (χωρίς κρυπτογραφία) Εμβόλιμης Κίνησης (Traffic Padding) Αποτροπή ανάλυσης κίνησης Ελέγχου Δρομολόγησης (Routing Control) Επιλογή συγκεκριμένης διαδρομής κατά τη μετάδοση της πληροφορίας Ανίχνευση Εισβολέων Συμβολαιογραφίας (Notarization) Διασφαλίζουν ιδιότητες πληροφορίας, όπως προέλευση, προορισμός

Έλεγχος Πρόσβασης

Αντικείμενα Πρόσβασης Μνήμη διεργασίας Χωρητικότητα στο δίσκο Αρχεία δεδομένων (+πίνακες βάσεων δεδομένων) Εκτελέσιμα προγράμματα (εγκατάσταση, εκτέλεση, απεγκατάσταση) Μονάδες εισόδου/εξόδου (π.χ., USB απενεργοποίηση) Ευρετήρια αρχείων (π.χ., αναζήτηση σε κατάλογο) Πίνακες λειτουργικού συστήματος Μηχανισμοί συνθηματικών και αναγνώρισης ταυτότητας χρήστη. Εκτυπωτές… Πρόσβαση σε δίκτυο …

Επίπεδα Πρόσβασης Αντικειμένων* Καμία προστασία Απομόνωση: κάθε διεργασία έχει δικά της αντικείμενα Κοινή ή αποκλειστική χρήση: ο ιδιοκτήτης ορίζει δικαιώματα Περιοριστική πρόσβαση: το λειτουργικό σύστημα ελέγχει την πρόσβαση υποκειμένων-αντικειμένων Μεταβλητή δυνατότητα πρόσβασης: δυνατότητα δυναμικής τροποποίησης των δικαιωμάτων Περιορισμένη χρήση αντικειμένου: δυνατότητα περιορισμών δικαιωμάτων σε διάφορα αντικείμενα, π.χ., r--, -w-. Βαθμίδα πρόσβασης Bit, byte, word, field, record, file *C. Pfleeger, Security in Computing, Prentice Hall, Englewood Cliffs, US., 1989

Στόχοι Πρόσβασης Αντικειμένων Έλεγχος κάθε πρόσβασης (Check every access) Το λειτουργικό σύστημα πρέπει να μπορεί να ανακαλέσει το δικαίωμα πρόσβασης ενός χρήστη σε κάποιο αντικείμενο. Σε κάθε αίτηση πρέπει να ελέγχεται η ύπαρξη δικαιώματος. Αναγνώριση ελάχιστων δικαιωμάτων (Allow least privilege) Ο χρήστης διαθέτει δικαίωμα πρόσβασης μόνο στα αντικείμενα που είναι απολύτως απαραίτητα για την άσκηση καθηκόντων του. Επαλήθευση αποδεκτής χρήσης (Verify acceptable usage) Επιβεβαίωση ότι εκτός από το δικαίωμα πρόσβασης σε ένα αντικείμενο, πρέπει να ελέγχονται διαρκώς οι πράξεις σε αυτό, δημιουργώντας ένα προφίλ για κάθε υποκείμενο (;).

Δομές Ελέγχου Πρόσβασης Ευρετήριο (Directory) Λίστα Ελέγχου Πρόσβασης (Access Control List) Γράφος Ελέγχου Πρόσβασης (Access Control Graph)

Ευρετήριο Ορίζονται δικαιώματα τύπου: Μειονεκτήματα: read (R), write (W), execute (E), owner (O). Κάθε αντικείμενο έχει έναν και μοναδικό ιδιοκτήτη, ο οποίος καθορίζει τα δικαιώματα πρόσβασης σε αυτό. Κάθε υποκείμενο έχει ένα κατάλογο-λίστα όλων των αντικειμένων για τα οποία έχει καθορισμένα δικαιώματα πρόσβασης Μειονεκτήματα: Οι λίστες των υποκειμένων είναι τεράστιες Οι διαδικασίες αναζήτησης είναι χρονοβόρες Ο ιδιοκτήτης δεν γνωρίζει ποια υποκείμενα έχουν πρόσβαση στα δικά του αντικείμενα καθώς και αγνοεί την μεταβίβαση δικαιωμάτων από ένα έμπιστο υποκείμενο σε κάποιο άλλο.

Ευρετήριο Ευρετήριο (χρήστη-α) Ευρετήριο (χρήστη-β) ORW RW OR W E OR Sec18.03.09.ppt ORW Sec18.03.09.ppt RW Passwd.obj OR Passwd.obj W eplorer.exe E eplorer.exe OR Example.java ORW

Λίστα Ελέγχου Πρόσβασης (ACL) Ορίζονται δικαιώματα τύπου: read (R), write (W), execute (E), owner (O). Κάθε αντικείμενο έχει ένα κατάλογο-λίστα όλων των υποκειμένων και των δικαιωμάτων σε αυτό Λύνονται τα προβλήματα του Ευρετηρίου, αλλά για να αρθούν τα δικαιώματα ενός υποκειμένου απαιτείται αναζήτηση σε όλες τις λίστες των αντικειμένων. Εφαρμογή VAX/VMS και UNIX. Παράδειγμα: Έστω μια διεργασία (δ) που εκτελείται για λογαριασμό του υποκειμένου (υ) και επιχειρεί πρόσβαση σε κάποιο αντικείμενο (α) με δικαιώματα Α = {r,w}. Τότε, η πρόσβαση είναι επιτρεπτή όταν στο κατάλογο του συστήματος υπάρχει η εγγραφή (α, υ, Β = {r,w,x}), δηλαδή το σύνολο Α είναι υποσύνολο του Β για το (υ) υποκείμενο, ανεξαρτήτως τι τύπου είναι η διεργασία (δ)! Πως μπορούμε να ξέρουμε κάτι για την (δ); Έχει νόημα; java.security.acl.* sun.security.acl.*;

Λίστα Ελέγχου Πρόσβασης (ACL) Ευρετήριο Sec18.03.09.ppt Χρήστης-α RW Χρήστης-β W Passwd.obj Χρήστης-γ OR eplorer.exe Χρήστης-α RW Χρήστης-γ W Χρήστης-α RW Χρήστης-β W Χρήστης-γ OR Χρήστης-δ OR

Γράφος Ελέγχου Πρόσβασης Ορίζονται δικαιώματα τύπου: read (R), write (W), execute (E), owner (O). Τα δικαιώματα ορίζονται ως πληροφορία πάνω στην ακμή που συνδέει ένα κόμβο-Υποκείμενο με ένα κόμβο-Αντικείμενο Εάν η υλοποίηση γίνει με δομή δεδομένων «πίνακα» τότε προκύπτουν πολλοί αραιοί πίνακες. Sec18.03.09.ppt Χρήστης-α Passwd.obj Χρήστης-β Χρήστης-γ eplorer.exe

Λογαριασμοί Χρηστών και Ομάδων

Μηχανισμός ομαδοποίησης Ομαδοποίηση χρηστών σε τρεις «ομάδες» Χρήστη (user) π.χ., φοιτητής Ομάδα χρηστών όπου ο χρήστης έχει εμπιστοσύνη Φοιτητές για ένα συγκεκριμένο μάθημα Η βάση για ταξινόμηση σε ομάδα είναι η ανάγκη οι χρήστες να μοιρασθούν κάτι κοινό. Υπόλοιποι χρήστες Συμφοιτητές τις σχολής Δικαιώματα είναι: r,w,x Η αναγνώριση ενός user γίνεται με βάση του userID και το groupID, δηλαδή από το ζεύγος (user,group)

Μηχανισμός ομαδοποίησης Μειονεκτήματα Ένας χρήστης δεν μπορεί να ανήκει ταυτόχρονα σε δύο ή περισσότερες ομάδες Για να ξεπερασθεί το μειονέκτημα αυτό, εισάγουμε τον ίδιο χρήστη σε πολλές ομάδες (αφού το μοναδικό κλειδί είναι το ζεύγος (user, group)). Αποτέλεσμα: αύξηση των λογαριασμών των χρηστών, πολλαπλή εμφάνιση των ίδιων αρχείων με διαφορετικά δικαιώματα πρόσβασης,… Πολλές φορές οι χρήστες θέλουν να ορίζουν δικαιώματα πρόσβασης με βάση ένα συγκεκριμένο αρχείο και όχι με βάση την ομάδα όπου ανήκουν.

Μηχανισμός Συνθηματικού Για να ενεργοποιηθεί το δικαίωμα πρόσβασης ενός υποκειμένου πρέπει να έχει ένα και μοναδικό συνθηματικό. Μειονεκτήματα: Η απώλεια του συνθηματικού μερικές φορές επιφέρει «κλείδωμα» του λογαριασμού του χρήστη. Ο διαχειριστής μπορεί, φυσικά, να φτιάξει νέο συνθηματικό για τον χρήστη. Αποκάλυψη συνθηματικού: δεν υπάρχει αναγνώριση από το σύστημα ότι κάποιος έχει υποκλέψει το συνθηματικό μας! Για οτιδήποτε αλλαγή δικαιώματος σε αντικείμενο, πρέπει, υποχρεωτικά, να δίνεται το συνθηματικό για επιβεβαίωση: αύξηση πιθανότητας αποκάλυψης Υποχρεωτικά πρέπει να ενεργοποιείται η διαδικασία εισαγωγής συνθηματικού έστω και για μια απλή ενέργεια.

Μηχανισμός Χρήστη και Συνθηματικού για Αλληλοεπιβεβαίωση οντοτήτων Στάδιο ταυτοποίησης (identification): τόσο το σύστημα όσο και ο χρήστης αναγγέλλουν την ταυτότητά τους. Χρήση ελέγχου ταυτότητας, π.χ., αριθμός κάρτας. Στάδιο αυθεντικοπίησης (authentication): κάθε ένα από τα δύο μέρη επιβεβαιώνει ότι είναι αυτό που ισχυρίστηκε στο στάδιο της ταυτοποίησης. Ενεργοποίηση μηχανισμού συνθηματικού. Στάδιο εξουσιοδότησης (authorization): ελέγχονται διεξοδικά οι επί μέρους όροι συνεργασίας, π.χ., έλεγχος πρόσβασης,…

Έλεγχος ροής ελέγχου πρόσβασης Terminal (username, password) & (trials <= 5) Login process ERROR (trials--) (password) Ciphering process OK System (h( password) = ($#21@#)) Controller

Αποκάλυψη Συνθηματικού Να δοκιμάσει όλα τα δυνατά συνθηματικά Να δοκιμάσει όλα τα πιθανά συνθηματικά Να δοκιμάσει όλα τα πιθανά συνθηματικά για συγκεκριμένο χρήστη Να ανακαλύψει τον πίνακα των κρυπτογραφημένων συνθηματικών και τον αλγόριθμο κρυπτογράφησης Να πάρει το συνθηματικό απευθείας από τον χρήστη.

Αποκάλυψη Συνθηματικού Να δοκιμάσει όλα τα δυνατά συνθηματικά Έστω, συνθηματικό με n σύμβολα από μια αλφάβητο με m σύμβολα. Τότε αριθμός δυνατών προσπαθειών είναι: mn Εάν απαιτείται t=0.001 δευτερόλεπτα χρόνος για να υπολογισθεί ένα συνθηματικό, και το συνθηματικό μπορεί να αποτελείται από 1 έως και 8 σύμβολα, με 26 σύμβολα, τότε χρειάζονται: 26+26*26+26*26*26+… = 7 χρόνια για να ελεγχτούν όλα τα συνθηματικά. Για συνθηματικά που πηγάζουν από λέξεις μέσα από λεξικά Για λεξικό 100.000 λέξεων, αποκάλυψη σε 14 ώρες – μέσος όρος Για τυχαία συνθηματικά, αποκάλυψη σε 1,093 χρόνια – μέσος όρος

Αποκάλυψη Συνθηματικού Να δοκιμάσει όλα τα δυνατά συνθηματικά με μικρό αριθμό συμβόλων Εάν απαιτείται t=0.001 δευτερόλεπτα χρόνος για να υπολογισθεί ένα συνθηματικό, και το συνθηματικό μπορεί να αποτελείται από 1 έως και 3 σύμβολα, με 26 σύμβολα, τότε χρειάζονται: 26+26*26+26*26*26= 18, 278 δευτερόλεπτα για να ελεγχτούν όλα τα συνθηματικά. Για συνθηματικό μόνον 5 συμβόλων τότε απαιτείται 3,5 ώρες περίπου για να ελέγχουν όλα. Ανακάλυψη πλήθους συμβόλων: Εκμάθηση της ποσότητας: αριθμός χαρακτήρων / λεπτό

Αποκάλυψη Συνθηματικού Να ανακαλύψει το αρχείο των κρυπτογραφημένων συνθηματικών και τον αλγόριθμο κρυπτογράφησης (είναι γνωστός) joe 9Mfsk4EQ... mary AEd62KRD... john J3mhF7Mv... Υπολογισμός κρυπτογραφημένων κωδικών από λεξικά h(automobile) = 9Mfsk4EQ... h(aardvark) = z5wcuJWE... h(balloon) = AEd62KRD... h(doughnut) = tvj/d6R4 mary has password balloon!

Αποκάλυψη Συνθηματικού Έρευνα των Rober Morris, Ken Thompson, 1979* Στατιστικά για 3.289 συνθηματικά 15 συνθηματικά ενός χαρακτήρα 72 συνθηματικά δύο χαρακτήρων 464 & 477 συνθηματικά τριών & τεσσάρων χαρακτήρων, αντίστοιχα 706 συνθηματικά πέντε χαρακτήρων 605 συνθηματικά έξι χαρακτήρων 492 ήταν ονόματα και λέξεις από λεξικά 458 ήταν μόνο δύσκολα να τα μαντέψεις 86% of passwords can be cracked Τα συνθηματικά φυλάσσονται κρυπτογραφημένα. Η αποκάλυψη του αλγορίθμου κρυπτογράφησης δεν είναι πρόβλημα! Οδηγίες για strong passwords: http://www.microsoft.com/protect/yourself/password/create.mspx Τελικά; *Robert Morris, Ken Thompson, Password Security - A Case History. Communications of the ACM 22(11): 594-597 (1979) Download paper: http://citeseer.ist.psu.edu/old/41625.html

Αποκάλυψη Συνθηματικού Salting – Εισαγωγή περεταίρω πληροφορίας κατά την κρυπτογράφηση Εισαγωγή ενός αριθμού που δεν είναι γνωστός στον χρήστη (τυχαία από το σύστημα) δίπλα στο συνθηματικό. Ο αριθμός αυτός είναι το salt Παράδειγμα Χρήστης: john με κωδικό automobile Ο κρυπτογραφημένος κωδικός είναι: h(automobile|1515) = ScF5GDhW... Εύκολα υλοποιήσιμο.

Αποκάλυψη Συνθηματικού Πλεονεκτήματα του Salting Η επίθεση με λέξεις από λεξικά είναι πολύ πιο δύσκολη. Πριν το Salting: Η κρυπτογραφημένη λέξη εξισώνεται με την φυλασσόμενη λέξη στο αρχείο κωδικών. Μετά το Salting: Η κρυπτογραφημένη λέξη μαζί με το salt εξισώνεται με την κρυπτογραφημένη λέξη και το salt από το σύστημα. n-λεξο λεξικό, k-bit salts, m διαφορετικά salts: Κατά την επίθεση πρέπει να ελεγχτούν n*min(m, 2k) συμβολοσειρές αντί n (χωρίς salt) Εάν υπάρχουν πολλοί χρήστες, π.χ., (>> 2k, με salts) τότε έχουμε 2k πιο δύσκολη επίθεση! Για το σύστημα είναι ίδιος υπολογιστικός χρόνος UNIX: συνθηματικά των 8 συμβόλων με 12-bit salt. Για 32-bit salt απαιτούνται 800 τρις-εκατομμύριο hash δοκιμές αντί, για ένα λεξικό με 200,000 λέξεις.

Αποκάλυψη Συνθηματικού Αρπαγές Συνθηματικών (Password Grabbers) Προσομοίωση της διαδικασίας εισόδου σε ένα σύστημα Η κακόβουλη οντότητα αφήνει το πρόγραμμα ενεργό και απομακρύνεται από το τερματικό. Ο πρόγραμμα αυτό είναι ακριβώς το ίδιο με το πραγματικό. Ο χρήστης (εφόσον δεν πληκτρολόγησε break – F5 για να δει εάν είναι «παγιδευμένο» το τερματικό ή όχι) εισάγει το συνθηματικό του. Προφανώς, το πρόγραμμα προσομοίωσης εμφανίζει μήνυμα λάθους, και τότε επιστρέφει στο πραγματικό πρόγραμμα εισόδου. Ο χρήστης ξανα-εισάγει το συνθηματικό του, νομίζοντας ότι έκανε λάθος πληκτρολόγηση πριν (κάτι που το πιστεύουμε πολλές φορές!) Το πρόγραμμα προσομοίωσης αποθήκευσε το συνθηματικό και το όνομα χρήστη. Υπάρχει περίπτωση να γίνεται «ανακατεύθυνση» από το πρόγραμμα προσομοίωσης στο σύστημα κατευθείαν

Αποκάλυψη Συνθηματικού Reverse Turing Test ! Completely Automated Public Turing test to tell Computers and Humans Apart - CAPTCA Ποιος ενδιαφέρεται;