Ασφάλεια στις Ηλεκτρονικές Συναλλαγές Τετάρτη 12 Iαν Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής, Κέρκυρα Δρ. Παναγιώτης Κοτζανικολάου
2 Ασφάλεια – Γιατί τη χρειαζόμαστε; Το Internet εγκυμονεί πολυάριθμους κινδύνους: Ιοί (Viruses). Παράνομη εισβολή σε συστήματα, (Hacking), επιθέσεις Άρνησης Εξυπηρέτησης (DOS). Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading) Υποκλοπές Επικοινωνιών, Αλλοίωση δεδομένων Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία Μη ζητηθείσα επικοινωνία (spam) Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας …
3 Ασφάλεια – Απειλές (1) Τυχαίες ή Εσκεμμένες Φυσικές π.χ. φωτιά Διακοπή ρεύματος; Εξοπλισμός π.χ. CPU, Δίκτυο, Σκληρός δίσκος, σφάλμα προγράμματος Ανθρώπινες e.g.Λάθη χρήστη, hackers, Ιοί.
4 Ασφάλεια – Απειλές (ΙΙ) Εξωτερικές Απειλές (outsiders) Hackers / Crackers Sniffers, Scanners, Password Crackers, Social Engineering,… Malware (Viruses, Worms, Δούρειοι Ίπποι (Trojan Horses), Dialers) … Εσωτερικές Απειλές (insiders) Χρήστες που παρακάμπτουν τις διαδικασίες ελέγχου πρόσβασης Χρήστες που «υποκλέπτουν» και χρησιμοποιούν την ταυτότητα άλλου χρήστη του συστήματος …
5 Ποιοι Επιτίθενται; (UK Audit Commission, 1998)
6 Πώς Ανακαλύψαμε την Επίθεση; (UK Audit Commission, 1998)
7 Ανάνηψη από την Επίθεση (UK Department of Trade and Industry, 1996)
8
9 1) Software bugs: Buffer overflows. Unexpected combinations. Unhandled input. Race conditions. 2) System configuration: Default configurations. Lazy administrators. Hole creation. Trust relationships. 5) Design flaws: TCP/IP protocol flaws. OS design flaws. 3) Password cracking: Really weak passwords. Dictionary attacks. Brute force attacks. 4) Sniffing unsecured traffic: Shared medium. Server sniffing. Remote sniffing. Γιατί οι «Εισβολείς» τα καταφέρνουν;
10 Ασφάλεια Συστήματος / Δικτύου - Επίπεδα
11 Ασφάλεια - Γενικά Φυσική Ασφάλεια Ασφάλεια Συστήματος Ασφάλεια Τοπικών Δικτύων Ασφάλεια Επικοινωνιών Ασφάλεια Υποδομών Νομική Προστασία & Κώδικες Δεοντολογίας
12 Ασφάλεια – Στόχοι Ιδιωτικότητα (Privacy) Ανωνυμία, Μυστικότητα Αυθεντικότητα – Εξακρίβωση (Authentication) Εξουσιοδότηση (Authorization) Ακεραιότητα (Integrity) Διαθεσιμότητα (Availability) Καταλογισμός Ευθύνης (Non-Repudiation, Accountability)
13 1) Active Content Monitoring / Filtering Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
14 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
15 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
16 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
17 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
18 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
19 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
20 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
21 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
22 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
23 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
24 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
25 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based 13) Real-Time Security Awareness/Incident Response Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
26 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based 13) Real-Time Security Awareness/Incident Response 14) Enterprise Security Administration Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
27 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based 13) Real-Time Security Awareness/Incident Response 14) Enterprise Security Administration 15) Managed Security Services Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
28 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based 13) Real-Time Security Awareness/Incident Response 14) Enterprise Security Administration 15) Managed Security Services 16) Security Services: Policy Development & Enterprise Security Policy Implementation Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
29 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based 13) Real-Time Security Awareness/Incident Response 14) Enterprise Security Administration 15) Managed Security Services 16) Security Services: Policy Development & Enterprise Security Policy Implementation 17) Trusted Operating Systems Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν
30 1) Active Content Monitoring / Filtering 2) Intrusion Detection: Host-Based & Network-Based 3) Firewalls 4) Security Appliances 5) Security Services: Penetration Testing 6) Authentication & Network Authentication 7) Certificate Authority/PKI 8) File and Session Encryption 9) Virtual Private Networks and Cryptographic Communications 10) Single Sign-On 11) Secure Web Servers & Web Applications 12) Vulnerability Scanners: Network-Based & Host-Based 13) Real-Time Security Awareness/Incident Response 14) Enterprise Security Administration 15) Managed Security Services 16) Security Services: Policy Development & Enterprise Security Policy Implementation 17) Trusted Operating Systems Υπηρεσίες & Εργαλεία Ασφάλειας στο Ηλ. Επιχειρείν