Ασφάλεια στο Διαδίκτυο

Ατζέντα Βασικοί στόχοι και αρχές για ασφάλεια στο Διαδίκτυο Ελεγχόμενη πρόσβαση στο web μέσω ΠΣΔ Οδηγίες προστασίας μαθητών Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου Υπηρεσία ασφάλειας ΠΣΔ (CERT)

Ατζέντα Βασικοί στόχοι και αρχές για ασφάλεια στο Διαδίκτυο Ελεγχόμενη πρόσβαση στο web μέσω ΠΣΔ Οδηγίες προστασίας μαθητών Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου Υπηρεσία ασφάλειας ΠΣΔ (CERT)

Βασικοί στόχοι Αρχικός Στόχος: Εισαγωγή των υπηρεσιών του Διαδικτύου στην Εκπαίδευση και σε άλλες πτυχές της κοινωνίας. Σημερινός Στόχος: Η θέσπιση ενός ασφαλούς περιβάλλοντος εργασίας που θα αποθαρρύνει ή θα αποτρέπει την πρόσβαση σε περιεχόμενο που συγκρούεται με θεμελιώδεις αρχές της κοινωνικής οργάνωσης και της ανθρώπινης αξιοπρέπειας. Προσοχή! Όχι λογοκρισία και ασφυκτικοί περιορισμοί, αλλά εύρεση τρόπων διασφάλισης της αποκλειστικής χρήσης του Διαδικτύου στα σχολεία για εκπαιδευτικούς σκοπούς. Στόχος: Να αποτραπεί η πρόσβαση σε ακατάλληλο υλικό, χωρίς όμως να αχρηστευτούν οι δυνατότητες του Διαδικτύου που μπορούν να χρησιμοποιηθούν για να διευκολύνουν την επικοινωνία, την ανταλλαγή απόψεων, την συνεργατικότητα και τη μαθησιακή διαδικασία.

Βασικές Αρχές Θεμελιώδεις Αρχές (αναφορικά με τους μαθητές): Οι ανήλικοι έχουν το δικαίωμα της ελεύθερης ανάπτυξης της προσωπικότητάς τους. Αποτελεί υποχρέωση της οικογένειας και του σχολείου η προστασία των ανήλικων από την έκθεσή τους σε επιβλαβές περιεχόμενο στο Διαδίκτυο. Η Διαδικτυακή κοινωνία αποτελεί αντανάκλαση της πραγματικής κοινωνίας. Σε 10-15 χρόνια το ~70% των συναλλαγών θα πραγματοποιείται με ψηφιακό τρόπο. Όχι παραπληροφόρηση και υπερβολή! Όχι στη «δαιμονοποίηση» του Διαδικτύου! Το Διαδίκτυο είναι ένα αγαθό για όλους ! Για την αντιμετώπιση των αρνητικών επιπτώσεων του Διαδικτύου απαιτείται η συνεργασία: Κυβερνήσεων Σχολείων Σχολικών δικτύων Χρηστών Διαδικτύου Γονέων Εταιρειών παροχής Διαδικτύου Δημιουργών σελίδων περιεχομένου Δικαιοσύνης και αστυνομίας

Ειδικά χαρακτηριστικά Διαδικτύου Καθένας μπορεί να «ανεβάσει» υλικό (κείμενα, εικόνες, μουσική, βίντεο, κλπ) στο Διαδίκτυο Δεν υπάρχει επίπεδο ελέγχου του περιεχομένου που δημοσιεύεται στο Διαδίκτυο στο επίπεδο του πρωτογενούς υλικού. Δεν έχει εφαρμοστεί μέχρι τώρα σε γενικευμένη μορφή ένα σύστημα που να προειδοποιεί για το είδος του περιεχομένου. Τα παιδιά έχουν πρόσβαση σε μεγάλες ποσότητες πληροφορίας από διεθνείς πηγές, που πριν δεν ήταν διαθέσιμες σε αυτά. Τα παιδιά μπορούν να επικοινωνούν και να συζητούν με ένα διεθνές και κατά το μεγαλύτερο βαθμό άγνωστο ακροατήριο. Το Διαδίκτυο δεν περικλείεται στα όρια των χωρών. Όλα αυτά δημιουργούν αγωνία στην κοινωνία και ειδικά στους γονείς.

Δυνητικά επιβλαβές περιεχόμενο (για ανήλικους) Δυνητικά επιβλαβές περιεχόμενο (για ανήλικους) Δικτυακοί τόποι και εφαρμογές του Διαδικτύου που περιέχουν: Πορνογραφία και ειδικά παιδική Τυχερά παιχνίδια Προπαγάνδα ναρκωτικών και αλκοόλ Προπαγάνδα υπέρ του ρατσισμού Προπαγάνδα βίας, μίσους και επιθετικής συμπεριφοράς Προπαγάνδα προμήθειας και χρήσης όπλων Διαφημιστικό υλικό Πληροφορίες για παραβιάσεις ασφαλείας υπολογιστικών συστημάτων και για κωδικούς πρόσβασης σε προγράμματα χωρίς νόμιμη άδεια Ανεξέλεγκτη επαφή με ενήλικους (που συνήθως υποδύονται ότι είναι ανήλικοι)

Πηγές ακατάλληλου περιεχομένου Οι πιθανοί τρόποι έκθεσης των ανήλικων σε επιβλαβές ή/και παράνομο περιεχόμενο είναι πολλοί: Υπηρεσίες πρόσβασης σε περιεχόμενο (web): Εμπορικές και προσωπικές ιστοσελίδες Υπηρεσίες επικοινωνίας: Newsgroups, Chat, FTP και Bulletin boards E-mail (spam mail, viruses) Instant Messaging (π.χ. ICQ, MSN, Skype, κλπ) Υπηρεσίες «Κοινωνικής Δικτύωσης» MySpace, Hi5, Facebook, κλπ Ηλεκτρονικό Εμπόριο: Υπηρεσίες ηλεκτρονικού εμπορίου Ηλεκτρονική διαφήμιση

Τι κάνει το ΠΣΔ για την Ασφάλεια; Θέσπιση πλαισίου πολιτικής ασφάλειας (Security Policy) Ορισμός Επιτροπής Δεοντολογίας & Περιεχομένου (ΕΔΠ) Λειτουργία Υπηρεσίας ελέγχου web περιεχομένου Οργάνωση Ομάδας Αντιμετώπισης Περιστατικών Ασφάλειας (CERT) Διαρκής ενημέρωση

Πλαίσιο Πολιτικής Ασφάλειας ΠΣΔ Ορισμός πολιτικών Αποδεκτής Χρήσης Διαδικτύου. Ανάπτυξη και λειτουργία φίλτρων, που αποτρέπουν την πρόσβαση σε ιστοσελίδες (web) : με πορνογραφικό περιεχόμενο, με τυχερά παιχνίδια, που προωθούν τα ναρκωτικά και το αλκοόλ, τη βία, το μίσος, την επιθετική συμπεριφορά και τον ρατσισμό. Διαρκής ενημέρωση (www.sch.gr/safe) και ευαισθητοποίηση της σχολικής κοινότητας και των γονέων (ηλεκτρονικό περιοδικό, ημερίδες, κλπ). Δημιουργία θετικής αντιπρότασης – αξιόλογο περιεχόμενο – καλές πρακτικές. Συνεργασία με ειδικές δράσεις για την ασφάλεια στο Διαδίκτυο (DART [Χανιά, Θεσ/νίκη], Safeline, SaferInternet). Συνεργασία με τις αρχές ασφάλειας .

Ατζέντα Βασικοί στόχοι και αρχές για ασφάλεια στο Διαδίκτυο Ελεγχόμενη πρόσβαση στο web μέσω ΠΣΔ Οδηγίες προστασίας μαθητών Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου Υπηρεσία ασφάλειας ΠΣΔ (CERT)

Τεχνικές Ελέγχου Περιεχομένου Με λέξεις κλειδιά σε διευθύνσεις URL (Blocking keywords) Απαγόρευση πρόσβασης σε σελίδες που περιέχουν συγκεκριμένες λέξεις Αδυναμία ελέγχου εικόνων, ήχων, κλπ. Αρνητικές και θετικές λίστες (Negative & Positive Lists) Χρήση προκαθορισμένων λιστών αποδεκτών ή απαράδεκτων σελίδων Μεγάλο διαχειριστικό βάρος Κατηγοριοποίηση και ταξινόμηση περιεχομένου (Content labeling & rating) Απόδοση ετικετών σε κάθε σελίδα Internet Κατηγοριοποίηση από τον δημιουργό της σελίδας Κατηγοριοποίηση από ανεξάρτητους φορείς Συνδυασμός των παραπάνω

Υλοποίηση φίλτρων στο ΠΣΔ Χρήση διαφανούς διακομιστή διαμεσολάβησης (Transparent Proxy). Λογισμικό Squid, το οποίο χρησιμοποιείται στα μεγαλύτερα εκπαιδευτικά δίκτυα διεθνώς: JANET (Αγγλία), GARR (Ιταλία), DFN (Γερμανία), SWITCH (Ελβετία), SURFnet (Δανία), NLANR (ΗΠΑ). Παραμετρικός έλεγχος σε διάφορα επίπεδα. Ορισμός πολλαπλών κανόνων ανά χρήστη, ομάδα χρηστών, κλπ. Αποκλεισμός πρόσβασης. Επιβολή περιορισμών σε συγκεκριμένες ώρες της ημέρας. Καταγραφή κίνησης και δημιουργία αναφορών. Δημιουργία blacklist από «αυτόματα ρομπότ» (dummy robots). Περιορισμένη επιτυχία (ψευδώς θετικές και ψευδώς αρνητικές απαντήσεις). Δυνατότητα επικοινωνίας πιστοποιημένων χρηστών με τον διαχειριστή (μέσω web form)

Περιγραφή blacklist ΠΣΔ Η blacklist προέρχεται από τη λίστα ακατάλληλων δικτυακών τόπων και σελίδων που δημιουργήθηκε και συντηρείται από τους δημιουργούς του SquidGuard Οι εγγραφές της βάσης είναι τριών τύπων: domains, IP space π.χ. sex.com, που αποκλείουν την πρόσβαση σε ολόκληρες δικτυακές περιοχές που έχουν ακατάλληλο περιεχόμενο (1.102.600 εγγραφές) urls, π.χ. bearportal.com/adults, που αποκλείουν την πρόσβαση σε συγκεκριμένες σελίδες δικτυακών τόπων (200.815 εγγραφές) expressions, που περιέχουν λέξεις κλειδιά, βάσει των οποίων αποκλείεται η πρόσβαση σε δικτυακούς τόπους ή σελίδες (μερικές δεκάδες τέτοιες λέξεις κλειδιά). Προσφέρουν σημαντική ευελιξία καθώς δεν είναι αποδοτικό ούτε δυνατόν να καταχωρηθούν όλοι οι δικτυακοί τόποι ή σελίδες στις δύο προηγούμενες κατηγορίες

Το αποτέλεσμα

Το αποτέλεσμα Μέσος διακινούμενος όγκος δεδομένων 273,1 GBytes/day Μέσος αριθμός αιτημάτων / ημέρα 20.734.051 requests/day Μέσος αριθμός αιτημάτων / ώρα 863.918 requests/hour Μέσος αριθμός αιτημάτων / λεπτό 14.389 requests/minute Αριθμός αιχμής αιτημάτων / ώρα 2.686.349 Αριθμός αιχμής αιτημάτων / λεπτό 60.474 Ποσοστό text/html requests που αποκόπτονται 2.56 % Αιτήματα που δέχεται ο cachemaster 137 requests/month Sites που μας ζητούν να ανοίξουμε 123 Sites που μας ζητούν να αποκλείσουμε 10 Αιτήματα που ικανοποιούνται 90 Αιτήματα που απορρίπτονται 43

Ατζέντα Βασικοί στόχοι και αρχές για ασφάλεια στο Διαδίκτυο Ελεγχόμενη πρόσβαση στο web μέσω ΠΣΔ Οδηγίες προστασίας μαθητών Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου Υπηρεσία ασφάλειας ΠΣΔ (CERT)

Η παρέμβαση των καθηγητών Να διδάξουν στους μαθητές τους πως το Διαδίκτυο εξελίσσεται σε (μερικές φορές παραμορφωτικό) καθρέπτη της κοινωνίας μας. Να εξηγήσουν στους μαθητές τους γιατί είναι φρόνιμο να μην δίνουν ποτέ προσωπικά στοιχεία και πληροφορίες στο Διαδίκτυο. Να ενημερώσουν για τους κινδύνους που κρύβονται στο Διαδίκτυο Να διδάξουν τις βασικές αρχές στις οποίες «χτίστηκε» το Διαδίκτυο (ανωνυμία, ισότιμη επικοινωνία όλων-με-όλους) και να επισημάνουν τις πιθανές επιπτώσεις τη σημερινή εποχή Να ενημερώσουν και να ευαισθητοποιήσουν τους γονείς για τον δικό τους ρόλο.

Η παρέμβαση των γονέων Να ενημερωθούν για το Διαδίκτυο και τι κάνουν τα παιδιά τους εκεί. Να δημιουργήσουν μια συμφωνία σε οικογενειακό επίπεδο για την χρήση του Διαδικτύου. Να συνοδεύουν τα μικρότερα παιδιά όταν συνδέονται στο Διαδίκτυο, ειδικά την πρώτη φορά. Να δημιουργήσουν τη δική τους λίστα με τις προτεινόμενες παιδικές σελίδες και να συμπεριλάβουν μηχανές αναζήτησης φιλικές στη χρήση τους για παιδιά. Να διδάξουν και αυτοί τα παιδιά τους να μην δίνουν ποτέ προσωπικά στοιχεία και πληροφορίες στο Διαδίκτυο. Να βάζουν τους υπολογιστές με σύνδεση στο Διαδίκτυο σε ένα συχνά χρησιμοποιούμενο χώρο του σπιτιού. Να ενημερωθούν για τα τεχνολογικά εργαλεία τα οποία είναι διαθέσιμα για τον έλεγχο του περιεχομένου.

Προτάσεις - Συμβουλές Έλεγχος περιεχομένου για σχολικό περιβάλλον και όχι για ενήλικες. Όχι στη «δαιμονοποίηση» του Διαδικτύου. Το Διαδίκτυο είναι ένα σύγχρονο αγαθό. Το πρόβλημα που μας απασχολεί είναι εξαιρετικά σύνθετο. Για την αντιμετώπισή του απαιτείται η συστράτευση Πολιτείας, βιομηχανίας Διαδικτύου, ακαδημαϊκού κόσμου, χρηστών Διαδικτύου, οργανώσεων πολιτών – γονέων. Οι ακολουθούμενες πρακτικές είναι περίπου ίδιες σε όλο τον κόσμο. Τα φίλτρα δεν μπορούν να εφαρμοστούν ενιαία και δεν μπορούν να εγγυηθούν επιτυχία 100%. Ευαισθητοποίηση και υπεύθυνη ενημέρωση των γονέων και των σχολείων. Θετική αντιπρόταση: ανάπτυξη αξιόλογου εκπαιδευτικού περιεχομένου και διάχυση καλών πρακτικών. Αυτορύθμιση των παρόχων περιεχομένου.

Ατζέντα Βασικοί στόχοι και αρχές για ασφάλεια στο Διαδίκτυο Ελεγχόμενη πρόσβαση στο web μέσω ΠΣΔ Οδηγίες προστασίας μαθητών Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου Υπηρεσία ασφάλειας ΠΣΔ (CERT)

Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου (Κανονιστικά θέματα) Σε κάθε περίπτωση να τηρείται ο Κανονισμός λειτουργίας κάθε υπηρεσίας ΠΡΟΣΟΧΗ στην παράνομη διάθεση περιεχόμενου (που ήταν ήδη σε ψηφιακή μορφή ή ψηφιοποιήθηκε από χρήστη) χωρίς τη συγκατάθεση του κατόχου των πνευματικών δικαιωμάτων για το εν λόγω περιεχόμενο. ΠΡΟΣΟΧΗ με τη χρήση προγραμμάτων peer-to-peer (P2P) (torrent, gnutella, skype) διότι μπορούν να προκαλέσουν προβλήματα υπέρμετρης κατανάλωσης πόρων δικτύου (κυρίως bandwidth). Ρυθμίστε κατάλληλα αυτά τα προγράμματα. Οποιαδήποτε εμπορική δραστηριότητα (προβολή εμπορικών προϊόντων, εταιρειών ή υπηρεσιών) είναι ασύμβατη με το χαρακτήρα του ΠΣΔ, συνεπώς απαγορεύεται η χρήση των υποδομών του ΠΣΔ για τέτοιους σκοπούς Η διάθεση/δημοσίευση περιεχόμενου με πορνογραφικό, υβριστικό ή ρατσιστικό χαρακτήρα είναι παράνομη

Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου (2) Ο Κωδικός Πρόσβασης του ΠΣΔ είναι απολύτως προσωπικός Η αποκάλυψή του σε τρίτους εγκυμονεί κινδύνους καθώς μπορεί να γίνει σύνδεση συγκεκριμένων πράξεων με συγκεκριμένο φυσικό πρόσωπο Logout και απαλοιφή προσωπικών δεδομένων σε κοινόχρηστους Η/Υ πριν την αποχώρηση του χρήστη Περιοδικός έλεγχος και εγκατάσταση: Ενημερωμένων εκδόσεων ΛΣ (Windows update) Ενημερωμένων εκδόσεων ιών (Antivirus update) Ενημερωμένων εκδόσεων «κατασκοπευτικών» προγραμμάτων (Antispyware update)

Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου (3) Να εξετάζονται όλα τα μηνύματα e-mail με δυσπιστία, κυρίως όσα προέρχονται από άγνωστους παραλήπτες ΜΗΝ ανοίγετε συνημμένα αρχεία στα e-mails χωρίς έλεγχο antivirus ΜΗΝ στέλνετε μηνύματα σε πολύ μεγάλο αριθμό παραληπτών (>20). Εναλλακτικά προτείνεται η χρήση της υπηρεσίας λιστών ηλεκτρονικού ταχυδρομείου: (www.sch.gr  «αλληλογραφία και οργάνωση»  «Λίστες ηλεκτρονικού ταχυδρομείου») Μη στέλνετε μηνύματα με μεγάλα συνημμένα αρχεία (>5ΜΒ). Εναλλακτικά προτείνεται: αποθήκευση του αρχείου σε κάποιο ιστοχώρο (πχ users.ach.sch.gr\username\myfile.zip αποστολή του συνδέσμου του αρχείου μέσα στο e-mail

Ατζέντα Βασικοί στόχοι και αρχές για ασφάλεια στο Διαδίκτυο Ελεγχόμενη πρόσβαση στο web μέσω ΠΣΔ Οδηγίες προστασίας μαθητών Πρακτικές καλής χρήσης υπηρεσιών Διαδικτύου Υπηρεσία ασφάλειας ΠΣΔ (CERT)

Υπηρεσία Ασφάλειας ΠΣΔ (CERT) Βασικές αρμοδιότητες: Διαχείριση αναφορών και διαμαρτυριών για Η/Υ εντός και εκτός του χώρου ευθύνης του ΠΣΔ Αναγνώριση-ανίχνευση προβλημάτων ασφάλειας συστημάτων Παρακολούθηση δικτυακής κίνησης και προστασία μονάδων ΠΣΔ από δικτυακές ανωμαλίες Παροχή συμβουλευτικής υποστήριξης για: Προφύλαξη και προστασία υπολογιστικών συστημάτων Ανίχνευση και προφύλαξη υπολογιστικών συστημάτων από επιθέσεις δικτυακής μορφής Μελέτες ασφάλειας συστημάτων

Υπηρεσία Ασφάλειας ΠΣΔ (CERT) Βασικός ιστοχώρος: www.cert.sch.gr Ανοικτή λίστα ηλεκτρονικού: ταχυδρομείου (security-info@sch.gr) E-mail επικοινωνίας: cert@sch.gr

Το αποτέλεσμα της ομάδας CERT