Η ΙΔΕΑΤΗ ΠΡΑΓΜΑΤΙΚΟΤΗΤΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΑΣΦΑΛΕΙΑΣ Σπύρος Κοκολάκης Επίκουρος Καθηγητής Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων, Πανεπιστήμιο Αιγαίου

Μια φορά και έναν καιρό......στην άγρια δύση περιπλανώμενοι πωλητές πουλούσαν το ‘λάδι του φιδιού’ (snake oil), ένα ελιξίριο που γιάτρευε όλες τις αρρώστιες. Τότε, όταν το πλήθος ανακάλυπτε την απάτη, κάλυπτε τον πωλητή με πίσσα και πούπουλα και τον έδιωχνε από την πόλη. Σήμερα...;

Μαγικά εργαλεία ασφάλειας Σήμερα μπορεί να βρει κανείς εργαλεία με μαγικές ιδιότητες, όπως: Συστήματα προστασίας από ιούς (antivirus) που εντοπίζουν όλους τους γνωστούς και άγνωστους ιούς. Κρυπτογραφία που δεν παραβιάζεται. Συστήματα που προστατεύουν 100% την ιδιωτικότητά σας.

Η λύση του μυστηρίου: 10 6 bits!

Crypteto – Μέγεθος κλειδιού Το crypteto έχει συμμετρικο κλειδί bits Γιατί όμως; Ο AES προσφέρει 256 bit. Το μέγεθος του κλειδιού προστατεύει από έναν τύπο επίθεσης μόνο (brute-force attack). Ψευδοδιαγωνισμοί Οποιοσδήποτε μπορεί να φτιάξει έναν κρυπταλγόριθμο που ο ίδιος δεν μπορεί να τον παραβιάσει. Για να πιστέψουμε ότι ένας αλγόριθμος είναι ισχυρός θα πρέπει να δημοσιοποιήσουμε λεπτομερή περιγραφή του αλγορίθμου (και να ενδιαφερθούν οι κρυπταναλυτές).

Snake-oil: πώς το αναγνωρίζεις; Απόλυτη ασφάλεια. Όποιος προσφέρει απόλυτη ασφάλεια δεν έχει κατανοήσει τη βασικότερη αρχή της ασφάλειας. Αδημοσίευτες εκπληκτικές μαθηματικές ανακαλύψεις. Μόνο στην NSA (και στις άλλες μυστικές υπηρεσίες) ίσως υπάρχουν μυστικά μαθηματικά. Μυστική, εταιρική (proprietary) κρυπτο- γραφία.

Snake-oil: πώς το αναγνωρίζεις; (συνέχεια...) Ασύλληπτα μεγέθη κλειδιών. Όποιος προσφέρει κλειδιά bits, προφανώς δε γνωρίζει από κρυπτογραφία. One-time pad (τυχαίο κλειδί που έχει ίδιο μέγεθος με το μήνυμα). Θεωρητικά απαραβίαστα, δεν μπορούν όμως να χρησιμοποιηθούν σε εμπορικές εφαρμογές. Ψευδοδιαγωνισμοί.

Αίσθηση ασφάλειας ή πραγματική ασφάλεια; Έστω ότι επιλέγω αξιόπιστα προϊόντα και αυστηρές πολιτικές και διαδικασίες... Αποτελούν τα αξιόπιστα προϊόντα και οι αυστηρές πολιτικές εξασφάλιση; Περισσότερη ασφάλεια σημαίνει καλύτερη ασφάλεια; Στοχεύουμε στην επίτευξη αισθήματος ασφάλειας ή πραγματικής ασφάλειας;

Περίπτωση Α: Αεροδρόμια

Αυξημένα μέτρα ασφάλειας Πολλαπλοί έλεγχοι ταυτότητας. Απαγόρευση αιχμηρών αντικειμένων και υγρών. Δοκιμαστική χρήση φορητών υπολογιστών. Ευτυχώς καταργήθηκε, αλλά οι φορητοί πρέπει να βγουν από τη τσάντα τους και να περάσουν χωριστά και συχνά τους ψηλαφούν Κάμερες σε όλους τους χώρους του αεροδρομίου. Απαγόρευση υγρών στις χειραποσκευές. Έλεγχος αποσκευών, σωματικός έλεγχος. Αποτέλεσμα: Υψηλό αίσθημα ασφάλειας

Αποτελεσματικότητα μέτρων προστασίας Πραγματική ασφάλεια ή ιδεατή πραγματικότητα; Περίπτωση λαθρομετανάστη που προσπάθησε να ταξιδεύσει για Γερμανία και βρέθηκε στην Κρήτη. Μη ανιχνεύσιμα «όπλα». Χρήση ποικίλλων αθώων υλικών ως όπλα. Ποιο στόχο εξυπηρετούν τα μέτρα ασφάλειας;

Περίπτωση Β: Alpha Web Bank Αυστηρά μέτρα ασφάλειας: Κωδικός συνδρομητή: 15 ψηφία, μπορείς να το αλλάξεις, αλλά ο πρώτος κωδικός ισχύει πάντα. Σου δίνουν και ένα χαρτάκι που γράφει τον κωδικό συνδρομητή και τους αριθμούς λογαριασμού σου. Αρχικά, τρεις (!) μυστικοί κωδικοί των 5 ψηφίων. Έπειτα δύο μυστικοί κωδικοί, ο ένας των 6 και ο άλλος των 5 ψηφίων Μετά καταργήθηκε ο δεύτερος, δίνουν συσκευή παραγωγής κωδικών (σε ποιους απευθύνεται;)

Αποτελεσματικότητα... Οι χρήστες είναι σε σύγχυση σχετικά με το αν πρέπει να κρατήσουν κρυφό και το UserID και το PIN. Γιατί να είναι 15ψήφιο; Το κλασικό PIN αποτελείται μόνο από τέσσερα ψηφία, έξι ψηφία (μόνο ψηφία!) είναι δύσκολο να τα απομνημονεύσει κάποιος, εκτός αν βάλει ως κωδικό την ημερομηνία γέννησης, τον αριθμό κυκλοφορίας του αυτοκινήτου του, ή απλά γράψει τον κωδικό στην ατζέντα του.

Συμπεράσματα Περισσότερη ασφάλεια δεν σημαίνει καλύτερη ασφάλεια. Το ψευδές αίσθημα ασφάλειας που προσφέρουν τα εντυπωσιακά μέσα προστασίας ενέχει μεγαλύτερη επικινδυνότητα από την έλλειψή τους. Δε δικαιούμαστε να αγνοούμε ή να θεωρούμε δεδομένη τη συμπεριφορά των χρηστών. Κάθε μέτρο ασφάλειας θα πρέπει να έχει ένα συγκεκριμένο στόχο και να εξετάζεται ως προς την επίτευξη του τεθέντος στόχου. Είμαστε τόσο ασφαλείς όσο το πιο αδύναμο σημείο του συστήματος ασφάλειας.

Διαχείριση Ασφάλειας Π.Σ. Πόση ασφάλεια επιδιώκουμε; Με ποιο στόχο; Έχουμε αφήσει κάποιο αδύνατο σημείο; Πώς κατανέμουμε του πόρους; Πώς εξασφαλίζουμε πόρους; Πώς εξασφαλίζουμε τη συμμετοχή των χρηστών; Πώς αποδεικνύουμε ότι έχουμε επαρκή ασφάλεια; ………

Ερωτήσεις…