ΘΕΜΑΤΑ ΑΣΦΑΛΕΙΑΣ ΣΤΟ ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ

ΠΑΡΑΓΟΝΤΕΣ ΠΡΟΒΛΗΜΑΤΩΝ ΑΣΦΑΛΕΙΑΣ Τρωτή σχεδίαση Διαδικτύου Αλλαγή κατεύθυνσης εγκλημάτων Υπόγειο Διαδίκτυο Η δυναμική φύση των συστημάτων ΗΕ και ο ρόλος των εσωτερικών εγκληματιών

ΕΙΔΗ ΕΠΙΘΕΣΕΩΝ Τεχνικές Γνώση συστημάτων/ λογισμικού Μη τεχνικές Απάτη/ πειθώ Συνδυασμός Συνδυασμός των δύο κατηγοριών

ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ : PAIN Μυστικότητα της Πληροφορίας (Privacy): το περιεχόμενο της πληροφορίας είναι διαθέσιμο μόνο στο νόμιμο κάτοχο αυτής και μυστικό σε οποιονδήποτε άλλο χρήστη. Αυθεντικότητα της Πληροφορίας (Authentication): οι δύο οντότητες που επικοινωνούν θα πρέπει να αναγνωρίζει η μία την άλλη και να αναγνωρίζεται η προέλευση της πληροφορίας. Η μυστικότητα επιτυγχάνεται μέσω της κρυπτογράφησης που με τις μαθηματικές της τεχνικές καθιστά την πληροφορία μη αναγνώσιμη. 4

ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ : PAIN Ακεραιότητα της Πληροφορίας (Integrity): τα δεδομένα που αποστέλλονται ως μέρος της συναλλαγής πρέπει να είναι μη τροποποιήσιμα κατά τη διάρκεια της μεταφοράς και αποθήκευσης τους στο δίκτυο. Μη Αποκήρυξη Αποστολής της Πληροφορίας (Non- Repudiation): διασφαλίζεται ότι ο αποστολέας του μηνύματος δε θα αρνηθεί ότι πράγματι έστειλε την πληροφορία. Η μυστικότητα επιτυγχάνεται μέσω της κρυπτογράφησης που με τις μαθηματικές της τεχνικές καθιστά την πληροφορία μη αναγνώσιμη. 5

ΑΣΦΑΛΕΙΑ: ΕΝΝΟΙΕΣ Ασφάλεια Ευπάθεια Απειλή Υπηρεσία ασφάλειας Επίθεση Μηχανισμός ασφάλειας Υπηρεσία ασφάλειας

ΠΑΡΑΒΙΑΣΕΙΣ ΑΣΦΑΛΕΙΑΣ Υποκλοπή Τροποποίηση Πλαστογράφηση Αποκήρυξη προέλευσης Αποκήρυξη παραλαβής Καθυστέρηση Άρνηση υπηρεσίας

ΠΑΡΑΒΙΑΣΕΙΣ ΑΣΦΑΛΕΙΑΣ Υποκλοπή Παράνομη πρόσβαση σε δεδομένα συστήματός ή δικτύου Είναι παθητική (ακούει ή διαβάζει) Υποκλοπή επικοινωνιών (wiretapping)-κατασκοπεία Τροποποίηση Τροποποίηση ή αλλοίωση δεδομένων Είναι ενεργητική Man-in the middle: ο επιτιθέμενος παρεμποδίζει τη νόμιμη επικοινωνία μεταξύ δύο μερών, τα οποία είναι φιλικά μεταξύ τους. Στη συνέχεια, ο κακόβουλος host ελέγχει τη ροή επικοινωνίας και μπορεί να αποσπάσει ή να αλλάξει πληροφορίες που στέλνονται από έναν από τους αρχικούς συμμετέχοντες. Οι επιθέσεις man-in-the-middle εφαρμόζονται ιδιαίτερα στο πρωτόκολλο Diffie-Hellman, όταν η συμφωνία ανταλλαγής κλειδιών γίνεται χωρίς επικύρωση (authentication) 8

ΠΑΡΑΒΙΑΣΕΙΣ ΑΣΦΑΛΕΙΑΣ Πλαστογράφηση: εξαπάτηση ταυτότητας Ο χρήστης νομίζει ότι έχει συνδεθεί με συγκεκριμένο υπολογιστή Ο χρήστης νομίζει ότι διαβάζει το σωστό αρχείο Αποκήρυξη προέλευσης: ψεύτικη άρνηση ότι μια οντότητα έστειλε ή δημιούργησε κάτι (π.χ. παραγγελία) Αποκήρυξη παραλαβής: ψεύτικη άρνηση ότι μια οντότητα έλαβε κάποια πληροφορία ή μήνυμα Καθυστέρηση: προσωρινή αναστολή της υπηρεσίας (π.χ. παράδοση πληροφορίας) Απαιτεί χειρισμό στοιχείων ελέγχου του συστήματος (π.χ. διαδικτυακοί κόμβοι, διακομιστές)

PHISHING Λήψη εμπιστευτικών πληροφοριών μέσω «μεταμφίεσης» σε μια αξιόπιστη οντότητα Εισαγωγή στοιχείων σε μια πλαστή ιστοθέση

ΕΠΙΘΕΣΗ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ(DoS) Όταν το σύστημα γεμίζει με αιτήσεις, καταρρέει Οι επιθέσεις συντονίζονται μέσω των Botnet: ομάδα προγραμμάτων που εκτελούνται αυτόνομα σε υπολογιστές ζόμπι.

ΚΑΚΟΒΟΥΛΟΣ ΚΩΔΙΚΑΣ (malware) Ιοί (virus): ενεργοποιούνται από την εκτέλεση του προγράμματος ξενιστή 12

ΙΟΙ ΥΠΟΛΟΓΙΣΤΩΝ Βασικός σκοπός Δευτερεύοντες στόχοι Αντιγραφή του εαυτού του και του κώδικά του σε όσο το δυνατόν περισσότερα αρχεία φιλοξενίας Δευτερεύοντες στόχοι Επιβράδυνση δικτύων Εμφάνιση ενοχλητικών μηνυμάτων Καταστροφή αρχείων ή περιεχομένων σκληρού δίσκου Απαιτούν ανθρώπινη αλληλεπίδραση για την εξάπλωσή τους 13 13

ΣΚΟΥΛΗΚΙΑ (Worms) Χρησιμοποιούν μεθόδους μεταφοράς όπως e-mail και δίκτυα χωρίς ανθρώπινη παρέμβαση για να εξαπλώνονται από μόνα τους Το σκουλήκι λειτουργεί ανεξάρτητα από την εκτέλεση του αρχείου φιλοξενίας και είναι πολύ πιο ενεργό στην εξάπλωσή του από τους ιούς 14 14

ΙΟΙ ΤΟΜΕΑ ΕΚΚΙΝΗΣΗΣ(Boot sector viruses) Κύρια εγγραφή εκκίνησης: πρόγραμμα που εκτελείται κάθε φορά που ανοίγει ο υπολογιστής Ο ιός φορτώνεται στη μνήμη πριν τη φόρτωση των προγραμμάτων προστασίας 15 15

ΒΟΜΒΕΣ ΛΟΓΙΚΗΣ(logic bombs) Βόμβα λογικής: Πυροδοτείται όταν πληρούνται συγκεκριμένες λογικές συνθήκες (π.χ. άνοιγμα αρχείου ή έναρξη προγράμματος) Ωρολογιακή βόμβα: Πυροδοτείται όταν περάσει συγκεκριμένος χρόνος ή σε μια συγκεκριμένη ημερομηνία (π.χ. Michelangelo virus 6/3) Αποτέλεσμα: Εμφάνιση ενοχλητικών μηνυμάτων στην οθόνη ή διαμόρφωση δίσκου-απώλεια δεδομένων 16 16

ΙΟΙ ΔΕΣΜΗΣ ΕΝΕΡΓΕΙΩΝ(scripting viruses) Δέσμη ενεργειών : μικρό πρόγραμμα που εκτελείται εν αγνοία σας Χρησιμοποιείται στους δικτυακούς τόπους για την εκτέλεση χρήσιμων ενεργειών (π.χ. συλλογή πληροφοριών από πελάτες) Κλικ σε σύνδεσμο για εμφάνιση βίντεο σε ιστοσελίδα μπορεί να προκαλέσει εκτέλεση κακόβουλης δέσμης ενεργειών 17 17

ΚΑΚΟΒΟΥΛΟΣ ΚΩΔΙΚΑΣ (malware) Δούρειος ίππος (trojan horse): πρόγραμμα που φαίνεται να εκτελεί χρήσιμη λειτουργία αλλά περιέχει επικίνδυνη κρυφή συνάρτηση Πολλά είδη: σημαντικό ο έλεγχος άλλου υπολογιστή μέσω διαδικτύου/ πρόγραμμα διακομιστή και πρόγραμμα πελάτη Τραπεζικός δούρειος ίππος: ζωντανεύει όταν προσπελαύνονται τραπεζικοί ιστότοποι 18

ΚΑΤΑΓΡΑΦΗ ΠΛΗΚΤΡΟΛΟΓΗΣΗΣ(keylogging) (λογισμικό, υλικό) Software-based keyloggers Hardware-based keyloggers Acoustic keyloggers Keyboard overlays 19

ΜΗΧΑΝΙΣΜΟΙ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Έλεγχος πρόσβασης Τείχη προστασίας Συστήματα ανίχνευσης εισβολών Λογισμικό προστασίας από ιούς Μηχανισμοί ασφάλειας ΠΣ

ΜΗΧΑΝΙΣΜΟΙ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Έλεγχος πρόσβασης: ποιος έχει ποιο δικαίωμα χρήσης σε πόρους ενός ΠΣ Ταυτοποίηση: επαληθεύει ότι μια οντότητα ανήκει στην οντότητα που ισχυρίζεται ότι ανήκει Μέσω κωδικού, ταυτότητας, βιομετρικών δεδομένων Εξουσιοδότηση: επαληθεύει ότι μια οντότητα έχει δικαίωμα για την ενέργεια που ζητά να πραγματοποιήσει στο ΠΣ Ανάγνωση, εγγραφή, εκτέλεση

ΜΗΧΑΝΙΣΜΟΙ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Τείχη προστασίας: συνδυασμός από υλικό και λογισμικό που ελέγχει τη ροή της εισερχόμενης και εξερχόμενης κίνησης σε ένα δίκτυο βάσει συγκεκριμένων κανόνων Λογισμικό προστασίας από ιούς (antivirus) Συστήματα ανίχνευσης εισβολών: παρακολουθούν διαρκώς τη δραστηριότητα πρόσβασης σε ένα ΠΣ προκειμένου να ανιχνεύσουν εισβολές και επιθέσεις. Ανίχνευση ανωμαλιών/ μη αναμενόμενης συμπεριφοράς διεργασιών ή χρηστών Ανίχνευση κακής χρήσης-αλληλουχία συμβάντων ενδεικτικών επιθέσεων Ανίχνευση βάσει προδιαγραφών

ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ Διακρίνει τις πιθανές καταστάσεις στις οποίες είναι δυνατό να βρεθεί ένα σύστημα σε ασφαλείς, καταστάσεις στις οποίες είναι επιτρεπτό να βρίσκεται το σύστημα, και σε μη ασφαλείς, καταστάσεις οι οποίες συνιστούν παραβίαση της ασφάλειας Εφαρμόζεται με τους μηχανισμούς ασφάλειας. Οι μηχανισμοί ασφάλειας εμποδίζουν το σύστημα να μπει σε μη ασφαλή κατάσταση

ΣΤΡΑΤΗΓΙΚΕΣ ΑΝΤΙΜΕΤΩΠΙΣΗΣ ΠΡΟΛΗΨΗ ΑΝΙΧΝΕΥΣΗ ΑΝΑΚΑΜΨΗ

ΠΡΟΒΛΗΜΑΤΑ ΣΤΗΝ ΑΝΤΙΜΕΤΩΠΙΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ Σχεδιασμός μηχανισμού ασφάλειας –σύνθετος και όχι προφανής Ανάγκη τακτικής και συνεχούς παρακολούθησης Αντίληψη οφέλους επένδυσης σε ασφάλεια ως μικρού Εκ των υστέρων σκέψη να ενσωματωθεί σε ένα σύστημα μετά την ολοκλήρωση του σχεδιασμού αντί να αποτελεί αναπόσπαστο μέρος της διαδικασίας σχεδιασμού Ισχυρή ασφάλεια-εμπόδιο για την αποτελεσματική και φιλική προς το χρήστη λειτουργία του ΠΣ

ΤΟ ΠΕΡΙΒΑΛΛΟΝ ΑΣΦΑΛΕΙΑΣ ΤΟΥ ΗΛΕΚΤΡΟΝΙΚΟΥ ΕΜΠΟΡΙΟΥ Copyright © 2014 Pearson Education, Inc. Publishing as Prentice Hall 26

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ Τρία τρωτά σημεία: Πελάτης Διακομιστής Κανάλια επικοινωνίας 27

ΤΥΠΙΚΗ ΣΥΝΑΛΛΑΓΗ ΗΕ Copyright © 2014 Pearson Education, Inc. Publishing as Prentice Hall 28

ΤΡΩΤΑ ΣΗΜΕΙΑ ΣΥΝΑΛΛΑΓΗΣ Copyright © 2014 Pearson Education, Inc. Publishing as Prentice Hall 29

Βιβλιογραφία Γεωργιάδης, Χ., 2015. Τεχνολογίες Παγκόσμιου Ιστού και Ηλεκτρονικού Εμπορίου, ΣΕΑΒ. Παπαδοπούλου, Π. 2013. Νέες Τεχνολογίες και Πληροφοριακά Συστήματα Διοίκησης, Ηλεκτρονικό Επιχειρείν και Νέες Τεχνολογίες για Επιχειρηματικότητα, Τόμος Γ, Ελληνικό Ανοικτό Πανεπιστήμιο. Laudon, K., Traver, C., 2014. Ηλεκτρονικό Εμπόριο. Εκδόσεις Παπασωτηρίου. Turban, Ε., 2010. Ηλεκτρονικό Εμπόριο. Εκδόσεις Γκιούρδας.