ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ και ΔΙΚΤΥΩΝ Προστασία Πληροφοριών • Εξωτερικό • Εσωτερικό • Διαθεσιμότητα • Ακεραιότητα • ……
Βασικές Έννοιες Πρόληψη Ανίχνευση Αντίδραση ή Προστασία • Πρόληψη • Θεραπεία Έλεγχος
Έννοιες Εμπιστευτικότητα • Πρόληψη μη εξουσιοδοτημένης ανάγνωσης • Απόκρυψη ύπαρξης (πχ ιατρικά, νομικά) Ακεραιότητα • Μη μεταβολή, διαγραφή, αλλαγή, προσθήκη από μη εξουσιοδοτημένους
Έννοιες Διαθεσιμότητα • Παρεμπόδιση denial of service • Παρεμπόδιση flooding • Εξουσιοδότηση Αυθεντικοποίηση Μη απάρνηση Ευθύνη (audit controls) Αξιοπιστία και σιγουριά
Ευπάθειες Physical (κλειδαριές) Natural (πυροσβεστήρες – clima) Υλικού και Λογισμικού Μέσων (flash, δίσκοι, …) Εκπομπών (smart cards, wifi…) Επικοινωνιών Ανθρώπινος παράγοντας (δόλος)
Απειλές (στους πόρους) Υποκλοπή • Αντιγραφές δεδομένων, προγραμμάτων, multimedia Μεταβολή • Παραποίηση, καταστροφή Πλαστογραφία Διακοπή
Απειλές (Προέλευση) Φυσικές • Backups Ακούσιες Εξούσιες • Insiders • Outsiders
Προστασία - Γενικά Φυσική προστασία • Κλοπές, βανδαλισμοί, πλημμύρες… Ασφάλεια υπολογιστικού συστήματος • Προσπέλαση, backups Database security • Πολιτικές Network security
Βασικοί τρόποι Login Περιορισμένη πρόσβαση Διαχείριση συστήματος, εκπαίδευση, έλεγχος Σχεδιασμός και χρήση υπαρχόντων μέσων
Τύποι μέτρων Κρυπτογράφηση Μέτρα λογισμικού Μέτρα υλικού Φυσικά μέτρα υλικού Πολιτικές ασφάλειας
Αποτελεσματικότητα Επίγνωση μεγέθους? Περιοδικές αναθεωρήσεις Αλληλοκάλυψη Ευκολία χρήσης, τακτική εφαρμογή
Πού? Προγράμματα εφαρμογών ΣΔΒΔ Λειτουργικό σύστημα Πυρήνα Υλικό
Ασφάλεια στο διαδίκτυο Αναγνώσιμα και αναγνωρίσιμα από αποστολέα και αποδέκτη μόνο Όχι αλλοιωμένα Πραγματικές ταυτότητες Μη άρνηση Εμπιστευτικότητα Προστασία από ιούς Κρυπτογραφημένες ευαίσθητες πληροφορίες
Προβλήματα Κόστος Εκπαίδευση ΧΡΗΣΗ Αναθεώρηση
2. Αναγνώριση - Αυθεντικοποίηση Από στοιχεία που κατέχει ο χρήστης • Συνθηματικά, συνθηματικά μιας χρήσης, challenge-response, PIN, κουπόνια (tokens), κάρτες, smart cards Από χαρακτηριστικά του χρήση • Αναγνώριση υπογραφής (δύσκολο) • Δακτυλικό αποτύπωμα • Retina scan • Voice recognition
Έλεγχος Προσπέλασης αρχείων (win NT) Ανάγνωση Εγγραφή Εκτέλεση Διαγραφή Αλλαγή αδειών χρήσης Αλλαγή ιδιοκτησίας
Κακόβουλα Προγράμματα Ιοί Trojan Horses Σκουλήκια Logic Bombs Time Bombs Trapdoors Rabbits (!!!!!!)
IOI Εκκίνησης Παρασιτικοί Συνοδευτικοί Μακροεντολών Υπογραφές – πολυμορφία Ενημερωμένα αντιβιοτικά, φυσικά μέσα, cheksums
Σκουλήκια Δικτυακοί ιοί Αναπαράγονται και μεταδίδονται Denial of service Traffic Υποκλοπή passwords, ΠΙΝ κλπ
Δούριοι Ίπποι Κάνουν «παραπάνω» από αυτά που λεν ftp servers, ddl servers, download servers Οι χρήστες τους εγκαθιστούν χωρίς να το ξέρουν.
Κινητά συστήματα Φορητοί υπολογιστές, tablets, smartphones • Τα ίδια προβλήματα, με επιπλέον το ζήτημα της ασύρματης δικτύωσης. • Επιπλέον ζητήματα μικρής διεπαφής, έλλειψης πληροφόρησης κλπ • Είναι πολύ εύκολο να υποκλαπούν. ΑΠΑΙΤΕΙΤΑΙ κρυπτογράφηση
Internet Προβλήματα: Περιπλοκότητα, πολλά σημεία επίθεσης, άγνωστη περίμετρος, απουσία πολιτικών, άγνωστη δρομολόγηση Ασφάλεια: Εμπιστευτικότητα, ταυτοποίηση, εκτεθειμένοι κωδικοί, παρουσίαση πληροφοριών, μεταβολή, κατάχρηση, διείσδυση, διαστρέβλωση
Τρόποι άμυνας Εμπιστευτικότητα δεδομένων (κρυπτογραφία) και κίνησης Έλεγχος ακεραιότητας, αδυναμία απάρνησης Γνησιότητα ταυτότητας χρηστών και συστημάτων …….
ΚΡΥΠΤΟΓΡΑΦΙΑ Κρυπτογραφία, αρχικό κείμενο κρυπτογράφηση, αποκρυπτογράφηση, cipher text, αλγόριθμος και κλειδί, κρυπτανάλυση Χρόνος?
ΣΧΗΜΑ Αλγόριθμος κρυπτογράφησης Αλγόριθμος αποκρυπτογράφησης Αρχικό κείμενο Κρυπτ. κείμενο Επίθεση κλειδί
Τύποι Μυστικού, συμμετρικού κλειδιού Δημόσιου, ασύμμετρου κλειδιού Δέσμης (ανά πακέτο) Ροής (ανά χαρακτήρα ή bit)
Παραδείγματα Καίσαρας ((c i +k) mod 26), c i η θέση • Πχ SECURE=VHFXUH Vigenere ((ci+Ci) mod 26), Ci η θέση του κλειδιού • Πχ P L A I N T E X T • S O SOS O S O S • H Z SA B L W L L
DES (Data encryption standard) Πρόβλημα: Γνώση του κλειδιού, μετάδοση και χρήση από πολλούς Σπάει με brute force !!!!
RSA Δημοσίου κλειδιού Ασύμμετρη Δύο κλειδιά – public και private Άνοιξε εδώεδώ Ή εδώεδώ Ή εδώεδώ Ή καλύτερα εδώεδώ