Connect With Respect Ποιον εμπιστεύεστε? Κωνσταντίνος Άγγελος Καρακατσούλης Senior Security Auditor Trust-IT
Θέματα προς συζήτηση Ασφάλεια πληροφοριών - ορισμός Connect with Respect Θέματα προς συζήτηση Ασφάλεια πληροφοριών - ορισμός Ασφάλεια δικτύων/υπολογιστών - ορισμός Πώς συνδέονται Συχνές επιθέσεις με στόχο την πληροφορία Πώς επηρεάζουν τον απλό χρήστη Μέτρα προστασίας (???)
Connect with Respect Ασφάλεια πληροφοριών Η "Ασφάλεια των πληροφοριών" περιγράφει την προστασία των πληροφοριών και των συστημάτων πληροφοριών, από μη εξουσιοδοτημένη πρόσβαση, χρήση, αποκάλυψη, διατάραξη, τροποποίηση ή καταστροφή Επιτυγχάνεται μέσω ορθών «πολιτικών ασφαλείας» και του τριπτύχου «CIA» (Confidentiality, Integrity, Availability) / (Εμπιστευτικότητα, Ακεραιότητα, Διαθεσιμότητα)
Ασφάλεια δικτύων/υπολογιστών Connect with Respect Ασφάλεια δικτύων/υπολογιστών Η «ασφάλεια δικτύων/υπολογιστών» ορίζει τις ενέργειες και τα μέσα που απαιτούνται, ώστε να διασφαλιστεί η ορθή κατοχή, διακίνηση, αποθήκευση και επεξεργασία της πληροφορίας Επιτυγχάνεται λαμβάνοντας υπ’ όψιν (μεταξύ άλλων) Anti-Virus – Προστασία από κακόβουλα προγράμματα (π.χ. Ιούς) Firewall – Φιλτράρισμα της κίνησης της πληροφορίας IDS - Ανίχνευση «εισβολών» σε πραγματικό χρόνο Σωστή παραμετροποίηση των συστημάτων πληροφοριών Συνεχείς αναβαθμίσεις
Πώς συνδέονται Ασφαλές δίκτυο/ασφαλής υπολογιστής Ασφαλής πληροφορία Connect with Respect Πώς συνδέονται Ασφαλής πληροφορία «φιλοξενείται» σε ένα ασφαλές δίκτυο/ασφαλή υπολογιστή Ασφαλές δίκτυο/ασφαλής υπολογιστής Παρέχει όλες της προϋποθέσεις, ώστε να φιλοξενεί με ασφάλεια την πληροφορία Συνεπώς Σε ένα σύστημα που υστερεί σε ασφάλεια, η πληροφορία δεν μπορεί να θεωρηθεί ασφαλής Η πληροφορία που έχει διαρρεύσει, επεξεργασθεί, αντιγραφεί ή διαγραφεί χωρίς εξουσιοδότηση, χαρακτηρίζει το σύστημα από το οποίο προήλθε «ανασφαλές»
Συχνές επιθέσεις με στόχο την πληροφορία Connect with Respect Συχνές επιθέσεις με στόχο την πληροφορία Cracking Συχνά –και λανθασμένα- αναφέρεται ως «Hacking» Cracking = Criminal Hacking (Εγκληματικό Hacking) Αποσκοπεί στην απόκτηση πληροφοριών και την χρήση, αλλοίωση και επεξεργασία αυτών προς όφελος του « Cracker » Πληροφορία προς όφελος του « Cracker » αποτελεί οποιοδήποτε προσωπικό, εταιρικό, βιομηχανικό, κρατικό ή στρατιωτικό υλικό
Συχνές επιθέσεις με στόχο την πληροφορία Connect with Respect Συχνές επιθέσεις με στόχο την πληροφορία Cracking Τα στοιχεία που αντλούνται συνήθως πωλούνται στη «μαύρη αγορά» (black market) ή/και καταλήγουν να αποτελούν στοιχεία εκβιασμού Η «κατασκοπία» λόγω εταιρικών, βιομηχανικών ή κρατικών συμφερόντων, είναι μορφή «Cracking» «Νόμιμο Cracking» δεν υφίσταται
Συχνές επιθέσεις με στόχο την πληροφορία Connect with Respect Συχνές επιθέσεις με στόχο την πληροφορία Cracking Πρόσφατο παράδειγμα αποτελεί η διαρροή 250.000 κωδικών πρόσβασης λογαριασμών του Twitter
Συχνές επιθέσεις με στόχο την πληροφορία Connect with Respect Συχνές επιθέσεις με στόχο την πληροφορία Malware Malware = Malicious Software (Κακόβουλα προγράμματα) Σε αυτή την οικογένεια περιλαμβάνονται όλα τα κακόβουλα προγράμματα όπως ιοί, «σκουλίκια», προγράμματα εκμετάλλευσης τρωτών σημείων, Δούρειοι Ίπποι κλπ Η κατασκευή τους αποσκοπεί συνήθως σε οικονομικά οφέλη Παραδείγματα αποτελλούν τα Malware με όνομα Zeus και SpyEye τα οποία συλλέγουν τραπεζικά δεδομένα όπως κωδικούς πρόσβασης online-banking κλπ
Connect with Respect SpyEye Zeus
Συχνές επιθέσεις με στόχο την πληροφορία Connect with Respect Συχνές επιθέσεις με στόχο την πληροφορία Phishing Phishing = Fishing = «Ψάρεμα» Πιστά αντίγραφα γνωστών υπηρεσιών, όπως μεγάλα κοινωνικά δίκτυα, τράπεζες και ιστοσελίδες τύπου PayPal Σκοπός τους είναι να αντλήσουν κωδικούς πρόσβασης από χρήστες των εκάστοτε υπηρεσιών Συνδιασμός με κάποιο Malware ώστε να εξασφαλιστεί πλήρης πρόσβαση στον υπολογιστή του χρήστη, είναι το πιο σύνηθες φαινόμενο
Πώς επηρεάζουν τον απλό χρήστη Connect with Respect Πώς επηρεάζουν τον απλό χρήστη Συνδιασμός των παραπάνω, θέτει σε κίνδυνο τα προσωπικά μας δεδομένα Όνομα / Επώνυμο Τηλέφωνο E-mail Διεύθυνση Τόπο διαμονής Συγγενικά / Φιλικά πρόσωπα Φωτογραφίες Συνήθειες
Πώς επηρεάζουν τον απλό χρήστη - Παραδείγματα Connect with Respect Πώς επηρεάζουν τον απλό χρήστη - Παραδείγματα Άντληση κωδικών πρόσβασης Κοινωνικά δίκτυα, λογαριασμούς e-mail, online banking κλπ Κατασκοπεία σε πραγματικό χρόνο Δυνατότητα ακρόασης του χώρου μέσω μικροφώνου του Η/Υ, δυνατότητα παρακολούθησης του χώρου μέσω της web camera Καταγραφή πλήκτρων σε πραγματικό χρόνο Παρακολούθηση γραπτών συζητήσεων
Πώς επηρεάζουν τον απλό χρήστη - Παραδείγματα Connect with Respect Πώς επηρεάζουν τον απλό χρήστη - Παραδείγματα Πρόσβαση σε προσωπικά αρχεία Έγγραφα, φωτογραφίες και οτιδήποτε είναι αποθηκευμένο στον Η/Υ «Βαθύτερη» πρόσβαση Δυνατότητα παραβίασης υπολοίπων Η/Υ ή/και άλλων συσκευών όπως κινητά τηλέφωνα τα οποία συνυπάρχουν στο δίκτυό μας (πχ στο ασύρματο του σπιτιού) «Μόλυνση επαφών» Παραβίαση Η/Υ και δικτύων ατόμων που έχουμε επικοινωνία, μέσω των λογαριασμών μας (Facebook κλπ)
Πώς επηρεάζουν τον απλό χρήστη - Παραδείγματα Connect with Respect Πώς επηρεάζουν τον απλό χρήστη - Παραδείγματα Εκβιασμός Συνήθως το τελευταίο στάδιο μιας «επίθεσης» με στόχο τον απλό χρήστη Η «νομική οδός» είναι δύσκολη και κοστίζει ακριβά Κατά 99% των περιπτώσεων, ο «δράστης» δεν βρίσκεται ποτέ Εάν ο χρήστης «συμμορφωθεί» με τις απαιτήσεις του «δράστη», τότε είναι σίγουρο πως θα επαναληφθεί
Μέτρα προστασίας Δεν εμπιστευόμαστε Ειδικά αγνώστους Connect with Respect Μέτρα προστασίας Δεν εμπιστευόμαστε Ειδικά αγνώστους Αποφεύγουμε να δίνουμε στοιχεία προσωπικού χαρακτήρα όταν μας ζητείται, όπως τηλέφωνο, φωτογραφίες κλπ Πίσω από το πληκτρολόγιο δεν βρίσκεται πάντα αυτός που νομίζουμε Οι κακόβουλοι χρήστες συνήθως προσποιούνται οικεία σε εμάς πρόσωπα Δεν δεχόμαστε αρχεία Αποφεύγουμε τις παραλαβές αρχείων οποιουδήποτε τύπου (μουσική, φωτογραφιες κλπ) ακόμη κι αν θεωρούμε πως γνωρίζουμε τον αποστολέα
Μέτρα προστασίας Δεν εμπιστευόμαστε Connect with Respect Μέτρα προστασίας Δεν εμπιστευόμαστε Οποιαδήποτε συσκευή παρέχει πρόσβαση στο Internet είναι εν δυνάμει εκτεθειμένη Τα κινητά τηλέφωνα ΔΕΝ αποτελλούν εξαίρεση Αλλάζουμε τους κωδικούς μας συχνά Χρησιμοποιούμε «δυνατούς» κωδικούς και όχι την ημερομηνία γέννησης ή το τηλέφωνό μας Θυμόμαστε τους κωδικούς μας Δεν τους σημειώνουμε. Πουθενά. Ούτε σε χαρτάκια, ούτε σε έγγραφα κειμένου στον υπολογιστή, ούτε στο κινητό μας τηλέφωνο
Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Προγράμματα Anti-Virus Connect with Respect Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Προγράμματα Anti-Virus Καταλήγουμε σε ΈΝΑ, ποτέ πάνω από ένα στον ίδιο υπολογιστή Firewall Φιλτράρουμε την κίνηση στο δίκτυό μας από και προς τους υπολογιστές μας Συχνά Updates (Αναβαθμίσεις) Πολλά από τα κακόβουλα λογισμικά που χρησιμοποιούνται στο διαδίκτυο, εκμεταλλεύονται «λάθη» του συστήματος τα οποία διορθώνονται απλά με μια αναβάθμιση
Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Ασύρματο δίκτυο Connect with Respect Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Ασύρματο δίκτυο Αποφεύγουμε την χρήση κοινόχρηστων ασύρματων δικτύων (καφετέριες, ξενοδοχεία κλπ) Αλλάζουμε τον προεπιλεγμένο κωδικό και το «όνομα» (SSID) του router μας Προτιμούμε κρυπτογράφηση WPA2 Δεν δίνουμε πρόσβαση σε γείτονες χωρίς να βεβαιωθούμε ότι έχουμε λάβει όλα τα απαραίτητα μέτρα για να μην υπάρχουν διαρροές
Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Κινητό τηλέφωνο Connect with Respect Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Κινητό τηλέφωνο Δεν απαντούμε σε γραπτά μυνήματα που δεν βγάζουν νόημα Διαγράφουμε άμεσα γραπτά μυνήματα που μας δηλώνουν πως «κερδίσαμε» οτιδήποτε Προβληματιζόμαστε όταν –ακόμη και γνωστός αριθμός- μας ζητάει προσωπικά στοιχεία Οι κλήσεις και τα μυνήματα ΜΠΟΡΟΥΝ να αλλοιωθούν –βεβαιωνόμαστε ότι μας καλεί αυτός που διαβάζουμε στην αναγνώριση κλήσεων
Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Κινητό τηλέφωνο Connect with Respect Μέτρα προστασίας Παίρνουμε τεχνικά μέτρα Κινητό τηλέφωνο Δεν απαντούμε σε αποκρύψεις ή/και αριθμούς που φαίνεται να καλούν από το εξωτερικό εάν δεν τους γνωρίζουμε Δεν δεχόμαστε προγράμματα (applications) εάν διαθέτουμε smart phone (iPhone, Android κλπ) Δεν «δανείζουμε για λίγο» το κινητό μας τηλέφωνο –αρκούν μερικά δευτερόλεπτα για να «παγιδευτεί»
(???) Εθελοντής για μια ... «έκπληξη» Θα χρειαστούμε Θα χρειαστεί Connect with Respect (???) Εθελοντής για μια ... «έκπληξη» Θα χρειαστούμε Να ανέβει στο μικρόφωνο Τον αριθμό του κινητού του Τον αριθμό ενός τυχαίου κινητού από τα ήδη αποθηκευμένα στο κινητό του Θα χρειαστεί Την συσκευή του (Το κινητό του)
Πραγματικά... Ποιον εμπιστεύεστε? Connect with Respect Πραγματικά... Ποιον εμπιστεύεστε?