Προστασία Απώλειας Δεδομένων (Data Loss Prevention)

Transcript

1 ΑΤΕΙ ΘΕΣΣΑΛΙΑΣ ΣΧΟΛΗ ΤΕΧΝΟΛΟΓΙΚΩΝ ΕΦΑΡΜΟΓΩΝ Τμήμα Μηχανικών Πληροφορικής ΤΕ Προστασία Απώλειας Δεδομένων (Data Loss Prevention) ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ Πηνελόπη Κυρανούδη (ΑΜ: Τ02744) Επιβλέπων: Βασίλειος Βλάχος, PhD, Καθηγητής Εφαρμογών ΛΑΡΙΣΑ 2014

2

3 «Εγώ η Πηνελόπη Κυρανούδη, δηλώνω υπεύθυνα ότι η παρούσα Πτυχιακή Εργασία με τίτλο Προστασία Απώλειας Δεδομένων (Data Loss Prevention) είναι δική μου και βεβαιώνω ότι: Σε όσες περιπτώσεις έχω συμβουλευτεί δημοσιευμένη εργασία τρίτων, αυτό επισημαίνεται με σχετική αναφορά στα επίμαχα σημεία. Σε όσες περιπτώσεις μεταφέρω λόγια τρίτων, αυτό επισημαίνεται με σχετική αναφορά στα επίμαχα σημεία. Με εξαίρεση τέτοιες περιπτώσεις, το υπόλοιπο κείμενο της πτυχιακής αποτελεί δική μου δουλειά. Αναφέρω ρητά όλες τις πηγές βοήθειας που χρησιμοποίησα. Σε περιπτώσεις που τμήματα της παρούσας πτυχιακής έγιναν από κοινού με τρίτους, α- ναφέρω ρητά ποια είναι η δική μου συνεισφορά και ποια των τρίτων. Γνωρίζω πως η λογοκλοπή αποτελεί σοβαρότατο παράπτωμα και είμαι ενήμερη για την επέλευση των νομίμων συνεπειών» Πηνελόπη Κυρανούδη

4 Εγκρίθηκε από την τριμελή εξεταστική επιτροπή Τόπος: Ημερομηνία: ΕΠΙΤΡΟΠΗ ΑΞΙΟΛΟΓΗΣΗΣ

5 Περίληψη Η σύγχρονη εποχή από πολλούς χαρακτηρίζεται ως η εποχή της πληροφορίας. Η μορφή της πληροφορίας αυτής είναι κατά πλειοψηφία ψηφιακή. Τεράστιοι όγκοι δεδομένων καταχωρούνται καθημερινά σε διάφορους εξυπηρετητές (servers) και προσωπικούς υπολογιστές ανά τον κόσμο. Στην παρούσα πτυχιακή εργασία θα παρουσιαστούν στατιστικά στοιχεία ερευνών, τα οποία αποδεικνύουν πόσο ουσιώδης είναι η απώλεια δεδομένων, τόσο για τις επιχειρήσεις όσο και για τους ιδιώτες, και αν ή πώς μπορεί να αποφευχθεί ή να διορθωθεί. Θα γίνει, επίσης, αναφορά στο πρώτο πρόγραμμα ελεύθερου λογισμικού προστασίας απώλειας δεδομένων, OpenDLP, και τη χρήση του. Τέλος, θα γίνει εστίαση στο LibreOffice και πώς μπορούν οι εταιρείες να ελέγξουν την απώλεια των δεδομένων, τα οποία είναι καταγεγραμμένα σε αυτό, με τη βοήθεια του OpenDLP. Στόχος της συγκεκριμένης εργασίας είναι, αρχικά, τόσο η γνωστοποίηση του μεγέθους του προβλήματος της απώλειας δεδομένων παγκοσμίως όσο και η κατ επέκταση μείωσή του, μέσω τακτικών και ανέξοδων εργαλείων. Ακόμη, ως πρόθεση έχει να δοθεί τροφή για ενασχόληση του αναγνώστη με το ανοιχτό/ελεύθερο λογισμικό γενικότερα, αλλά και ειδικότερα, με το OpenDLP, το LibreOffice και την πιθανή βελτίωσή τους για το ευρύτερο καλό. -i-

6

7 Ευχαριστίες Θα ήθελα να ευχαριστήσω ειλικρινώς τον κ. Βλάχο Βασίλη, επιβλέποντα της παρούσας εργασίας, για την ευκαιρία που μου έδωσε να ασχοληθώ με ένα τόσο ενδιαφέρον και δημιουργικό θέμα και την άριστη συνεργασία που είχαμε. Ευχαριστώ ακόμα τον Ορφέα Πανάγου, την οικογένειά μου και το Βασίλη Ευαγγελίδη, οι οποίοι, ο καθένας με τον τρόπο του, με βοήθησαν να ολοκληρώσω τη συγκεκριμένη εργασία και, κατ επέκταση, τις σπουδές μου σε αυτή τη σχολή. Πηνελόπη Κυρανούδη 13/06/2014 -iii-

8

9 Περιεχόμενα ΠΕΡΙΛΗΨΗ... I ΕΥΧΑΡΙΣΤΙΕΣ... III ΠΕΡΙΕΧΟΜΕΝΑ... V 1 ΕΙΣΑΓΩΓΗ ΑΠΩΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΑΙΤΙΑ ΕΠΕΙΣΟΔΙΩΝ ΤΕΧΝΙΚΕΣ ΕΠΙΘΕΣΕΩΝ ΠΙΘΑΝΟΙ ΘΥΤΕΣ ΚΑΙ ΘΥΜΑΤΑ Θύματα Θύτες ΕΙΔΗ ΑΠΩΛΕΙΑΣ ΚΑΙ ΚΟΣΤΟΣ ΠΡΟΣΤΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΤΡΟΠΟΙ ΔΙΑΧΕΙΡΙΣΗΣ ΧΡΗΣΙΜΟ ΛΟΓΙΣΜΙΚΟ ΤΟ OPENDLP ΣΑΡΩΣΗ ΜΕ AGENT ΣΑΡΩΣΗ ΧΩΡΙΣ AGENT ΣΥΓΚΡΙΣΗ ΧΡΗΣΗ ΤΟΥ OPENDLP ΓΙΑ ΤΟ LIBREOFFICE ΤΟ LIBREOFFICE ΧΡΗΣΙΜΟΠΟΙΩΝΤΑΣ ΤΟ OPENDLP ΜΕΛΛΟΝΤΙΚΕΣ ΕΠΕΚΤΑΣΕΙΣ ΣΥΜΠΕΡΑΣΜΑΤΑ ΒΙΒΛΙΟΓΡΑΦΙΑ v-

10 -vi-

11 1 Εισαγωγή Πολύ συχνά τα πληροφοριακά συστήματα βρίσκονται σε σφαλματικές καταστάσεις, στις οποίες η πληροφορία καταστρέφεται, εξαιτίας ίσως αποτυχίας του υλικού κατά την αποθήκευση, μεταφορά ή μεταποίηση ενός αρχείου, φακέλου ή προγράμματος. Σε τέτοιες περιπτώσεις, οι χειριστές των πληροφοριακών αυτών συστημάτων δύναται να χρησιμοποιούν τυχούσα εφεδρική πληροφορία ή ειδικό εξοπλισμό για την αποκατάσταση των καταστροφών. Όταν η πληροφορία που καταστράφηκε ανακτάται, πρόκειται για μη διαθεσιμότητα της πληροφορίας, η οποία είναι προσωρινή απώλεια. Όταν δεν είναι ανακτήσιμη με κάποιον τρόπο, τότε μιλάμε για μόνιμη απώλεια δεδομένων (data loss), ένα σύγχρονο παγκόσμιο φαινόμενο υψίστης σημασίας και κόστους. [1] Καθώς η οικονομική δύναμη των επιχειρήσεων εξαρτάται ολοένα και περισσότερο από τα δεδομένα που έχουν στην κατοχή τους, οι ιδιοκτήτες και οι διαχειριστές τους υπόκεινται καθημερινά σε νέους κινδύνους. Σε μία μελέτη αναφέρεται ότι μια εταιρεία η οποία βιώνει μια διακοπή του υλικού της που διαρκεί για περισσότερες από 10 ημέρες, δεν πρόκειται ποτέ να ανακάμψει πλήρως οικονομικά και πως το 50% των εταιρειών που υποφέρουν μια τέτοια κατάσταση θα είναι εκτός ανταγωνισμού των επιχειρήσεων μέσα στα επόμενα 5 χρόνια. [2] Στην παρούσα πτυχιακή εργασία αναλύεται αυτό το φαινόμενο, της απώλειας δεδομένων, όσον αφορά τα αίτια των πιθανών επεισοδίων, τις τεχνικές των επιθέσεων, τους πιθανούς θύτες και θύματα, καθώς και τα είδη απώλειας που υπάρχουν και το κόστος που προκαλούν. Καταγράφεται, επίσης, με ποιους τρόπους μπορεί να διαχειριστεί μία τέτοια κατάσταση ανάλογα με την εκάστοτε περίπτωση και το πιο διαδεδομένο λογισμικό που μπορεί να χρησιμοποιηθεί για την ανάκτηση των προσωρινά απολεσθέντων δεδομένων και την προστασία των υπαρχόντων. Περεταίρω αναλύεται το πρόγραμμα προστασίας απώλειας δεδομένων OpenDLP, δηλαδή η χρησιμότητά του, οι λειτουργίες του, αλλά και οι επιλογές που προσφέρει στον τρόπο χρήσης του. Επιπλέον γίνεται εκτενής αναφορά στη σουίτα γραφείου LibreOffice και υποδεικνύεται αναλυτικά μία προσπάθεια χρήσης του OpenDLP, με σκοπό την εύρεση λύσης στην προστασία απώλειας των εγγράφων του LibreOffice. -1-

12 Τέλος, αναφέρονται τα αποτελέσματα της προαναφερθείσας δοκιμής. Δεν παραλείπονται, φυσικά, οι μελλοντικές επεκτάσεις του προγράμματος OpenDLP, που πιθανώς θα βοηθούσαν στην αναβάθμισή του, καθώς και τα συμπεράσματα της όλης διαδικασίας. -2-

13 2 Απώλεια Δεδομένων Σε αυτό το κεφάλαιο αναλύονται τα αίτια των επεισοδίων που είναι υπεύθυνα για την απώλεια δεδομένων και οι τεχνικές που χρησιμοποιούνται στις περιπτώσεις που συμβαίνουν εκούσια. Ακόμη, αναφέρεται ποιοι μπορεί να είναι οι επιτιθέμενοι και ποιοι οι δέκτες μίας τέτοιας επίθεσης. Τέλος, περιγράφονται οι κατηγορίες τέτοιου είδους απωλειών, το πόσο επηρεάζουν οικονομικά τις επιχειρήσεις και επιδεικνύονται στατιστικά στοιχεία ερευνών για όλα τα παραπάνω. 2.1 Αίτια Επεισοδίων Σύμφωνα με στατιστικά στοιχεία μίας αμερικανικής έρευνας, το μεγαλύτερο ποσοστό των σφαλμάτων οφείλεται σε αποτυχία του συστήματος. Για παράδειγμα, διακοπή ρεύματος, αποτυχία του υλικού (hardware) ή του λογισμικού (software), με την προϋπόθεση ότι δεν έχει προλάβει να γίνει μόνιμη αποθήκευση των δεδομένων. Ακόμη, κενά στο λογισμικό ή κακή χρηστικότητα, όπως το να μην επιβεβαιώνεται μία εντολή διαγραφής πληροφορίας. Το πρόβλημα θα μπορούσε, επίσης, να δημιουργηθεί σε περίπτωση επιχειρηματικής αποτυχίας, όπου χρησιμοποιείται χαμηλότερου κόστους λογισμικό μεταβίβασης, τύπου SaaS (Software-as-a-Service/Storage-as-a-Service) και δεν έχει τροφοδοτηθεί. Το ίδιο θα συμβεί και σε περίπτωση αλλοίωσης δεδομένων, είτε ε- ξαιτίας του συστήματος αρχείων είτε της βάσης δεδομένων, κακής RAM ή μη ομαλής εξαγωγής κάποιας προσθήκης USB. [1][2] Σημαντικό, επίσης, μερίδιο του ποσοστού των σφαλμάτων οφείλεται στον ανθρώπινο παράγοντα, στη θέση του χρήστη. Παραδείγματος χάριν, η εκούσια ή ακούσια διαγραφή ενός αρχείου ή προγράμματος, η κακή τοποθέτηση των CDs ή των USBs, τα σφάλματα διαχείρισης ή η ανικανότητα να διαβάσει αρχείο άγνωστης μορφής. Το ίδιο αποτέλεσμα προέρχεται, ακόμα, από φυσικές καταστροφές, όπως σεισμούς, πλημμύρες, ανεμοστρόβιλους ή φωτιές. Και φυσικά δεν εξαιρούνται οι πολύ σημαντικές περιπτώσεις απώλειας δεδομένων, οι οποίες είναι αποτέλεσμα κλοπής, hacking, σαμποτάζ, ιών, δούρειων ίππων, social engineering και γενικότερα κακόβουλου λογισμικού και δραστηριότητας. [1] -3-

14 Στο ακόλουθο γράφημα διακρίνονται τα ποσοστά των πιθανών λόγων απώλειας δεδομένων, σε φθίνουσα σειρά, όπως αποφάνθηκε η αμερικανική έρευνα που προαναφέρθηκε. Η συγκεκριμένη έρευνα βασίστηκε στα δεδομένα μιας ασφαλιστικής εταιρείας που ασφαλίζει το υλικό του υπολογιστή και στα στοιχεία μιας έρευνας από μια εταιρεία που ειδικεύεται στην ανάκτηση δεδομένων. Όπως φαίνεται, το μεγαλύτερο ποσοστό των περιστατικών οφείλεται σε αποτυχία του υλικού και σε σφάλμα του χρήστη, με 40% και 29% αντίστοιχα. Στη συνέχεια έρχονται η φθορά και αλλοίωση του λογισμικού με 13% και η κλοπή δεδομένων από κάποιον τρίτο με το ποσοστό του 9%. Τέλος, το κακόβουλο λογισμικό καταλαμβάνει ένα 6% σαν υπαίτιο απώλειας δεδομένων, ενώ για ένα 3% των περιπτώσεων είναι υπεύθυνη η τυχούσα καταστροφή του υλικού. [2] Αιτίες Απώλειας Δεδομένων 13% 9% 6% 3% 40% Αποτυχία υλικού Σφάλμα χρήστη Αλλοίωση λογισμικού Κλοπή 29% Κακόβουλο λογισμικό Καταστροφή υλικού Εικόνα 1: Στατιστικά στοιχεία αιτίων απώλειας δεδομένων. Τα παραπάνω στατιστικά στοιχεία, παρότι σημαντικά, μπορεί να μοιάζουν αδιάφορα αν κάποιος τα δει μόνο σαν ποσοστά. Για το λόγο αυτό, στο παρακάτω γράφημα παρουσιάζεται η αντιστοιχία τους σε πραγματικούς αριθμούς, σε ετήσια βάση. Δεδομένου, δηλαδή, του γεγονότος ότι οι υπολογιστές που βρίσκονται σε χρήση αγγίζουν τα 76,2 εκατομμύρια, τότε τα περιστατικά απώλειας δεδομένων λόγω αποτυχίας του υλικού είναι και λόγω σφάλματος του χρήστη Επιπλέον, εξαιτίας αλλοίωσης του λογισμικού ή κλοπής των δεδομένων από τρίτους δημιουργούνται και τέτοια συμβάντα, αντιστοίχως. Το κακόβουλο λογισμικό ευθύνεται για επεισόδια, ενώ ο αριθμός των υπολογιστών που υποφέρουν κάποια καταστροφή υλικού ανέρχεται στις Αυτό σημαίνει ότι συνολικά δημιουργούνται -4-

15 περιστατικά απώλειας δεδομένων ετησίως. Σημειώνεται, ακόμη, πως από όλα αυτά τα επεισόδια λιγότερο από το 2% συμβαίνει σε σταθερούς υπολογιστές (desktops), με αποτέλεσμα οι φορητοί υπολογιστές (laptops) να δέχονται περισσότερο από το 10% τέτοιου είδους αποτυχιών σε έναν ημερολογιακό χρόνο. [2] Αριθμός Επεισοδίων Απώλειας Δεδομένων Αποτυχία υλικού Σφάλμα χρήστη Αλλοίωση λογισμικού Κλοπή Κακόβουλο λογισμικό Καταστροφή υλικού Εικόνα 1: Αριθμός επεισοδίων απώλειας δεδομένων σε 1 έτος, σε υπολογιστές, ο- μαδοποιημένα βάσει αιτιών. (Σύνολο: επεισόδια/έτος) 2.2 Τεχνικές Επιθέσεων Είναι κατανοητό ότι το να χάσει κανείς τα δεδομένα του μπορεί να είναι μεγάλο πλήγμα. Πόσο μάλλον όταν αυτά ανήκουν σε κάποια εταιρεία ή οργανισμό και δε χάνονται απλώς, αλλά υποκλέπτονται για κακόβουλο σκοπό. Με τη συνεχή εξέλιξη της τεχνολογίας οι λόγοι και οι τρόποι για τέτοιου είδους επιθέσεις αυξάνονται με γεωμετρική πρόοδο, με αποτέλεσμα οι επιχειρήσεις να βρίσκονται σε μικρό ή μεγάλο βαθμό εκτεθειμένες, καθώς ποτέ κανείς δε μπορεί να είναι 100% ασφαλής. Όταν συμβαίνει κάτι τέτοιο, δηλαδή, όταν προστατευόμενα, ευαίσθητα δεδομένα αντιγράφονται, διαβιβάζονται, θεώνται, κλέπτονται, χρησιμοποιούνται από μη εξουσιοδοτημένα άτομα και γενικότερα διαρρέονται με οποιονδήποτε παράνομο τρόπο, τότε πρόκειται για παραβίαση δεδομένων (data breach). [3] Ένας από τους συνήθεις ύποπτους τέτοιας δραστηριότητας είναι το κακόβουλο λογισμικό (malware). Η ονομασία του προέρχεται από το γεγονός ότι περιέχει εντολές ι- κανές να βλάψουν ένα υπολογιστικό σύστημα. Κάποια από αυτά τα λογισμικά χρειάζο- -5-

16 νται έναν υπολογιστή-ξενιστή για να καταφέρουν να λειτουργήσουν, ενώ κάποια άλλα μπορούν να εκτελεστούν από μόνα τους, όπως οποιοδήποτε άλλο πρόγραμμα. Επίσης, ορισμένα κακόβουλα προγράμματα χρειάζονται την εμπλοκή του χρήστη για να αναπαραχθούν και σε αυτή την περίπτωση ονομάζονται μη ιομορφικά. Επομένως, ιομορφικά ονομάζονται όταν μπορούν να λειτουργήσουν αυτόνομα, χωρίς τη βοήθεια του ανθρώπινου παράγοντα. Κάποιοι από τους πιο γνωστούς και διαδεδομένους τύπους τέτοιου είδους λογισμικού, αλλά και γενικότερα μεθόδων κακόβουλης δραστηριότητας αναλύονται παρακάτω. Ιός (Virus) Πρόκειται για κακόβουλο λογισμικό, το οποίο έχει την ικανότητα να μεταδίδεται από υπολογιστή σε υπολογιστή, συνήθως ίδιου τύπου λειτουργικού συστήματος, μέσω κάποιας εξωτερικής συσκευής, όπως για παράδειγμα ένα flash drive ή εξωτερικό σκληρό δίσκο. Εξαπλώνεται όπου έχει τη δυνατότητα και μάλιστα χωρίς τη βοήθεια του χρήστη. Ακόμη, είναι ικανός να καταστρέψει από αρχεία λογισμικού, έως ολόκληρο το υ- λικό. Σκουλήκι (Worm) Ονομάζεται ένα κακόβουλο, ιομορφικό λογισμικό, το οποίο είναι φτιαγμένο με τέτοιο τρόπο, ώστε να πολλαπλασιάζεται αυτόματα μέσα στο σύστημα στο οποίο βρίσκεται. Εξαιτίας αυτού του τού χαρακτηριστικού, μεταδίδεται άμεσα, μέσω κάποιας δικτυακής υποδομής, αποστέλλοντας στον επιτιθέμενο χρήσιμη για εκείνον πληροφορία. Δούρειος Ίππος (Trojan Horse) Είναι ένα μη ιομορφικό πρόγραμμα, το οποίο συνήθως δε στοχεύει στη μόλυνση του υπολογιστή. Είναι παρόλα αυτά κακόβουλο, διότι παραπλανά το χρήστη ως κάτι χρήσιμο εξωτερικά, για να καταφέρει να υποκλέψει τα δεδομένα του ή ακόμα και να αποκτήσει τον έλεγχο του συστήματος. Λογική Βόμβα (Logic Bomb) Λέγεται το μη ιομορφικό λογισμικό, το οποίο ξεκινά να δραστηριοποιεί, εις βάρος του συστήματος στο οποίο έχει εγκατασταθεί, ένα κομμάτι κώδικα όταν πραγματοποιηθούν κάποιες συγκεκριμένες συνθήκες. Τέτοιες μπορεί να είναι, για παράδειγμα, το άνοιγμα ενός αρχείου ή η έλευση κάποιας ημερομηνίας. Οι δούρειοι ίπποι που ενεργοποιούνται σε συγκεκριμένη ημερομηνία ονομάζονται ωρολογιακές βόμβες (time bombs). Λογισμικό Κατασκοπείας (Spyware) -6-

17 Πρόκειται για πρόγραμμα το οποίο εγκαθίσταται με δύσκολα ανιχνεύσιμο τρόπο στο υπολογιστικό σύστημα του θύματος, με σκοπό τη συγκέντρωση πληροφορίας για ο- ποιαδήποτε κίνησή του. Μπορεί να συγκεντρώσει, δηλαδή, στοιχεία από ιστοσελίδες που επισκέπτεται, κωδικούς, αριθμούς τραπεζικών καρτών, αλλά και να αλλάξει ρυθμίσεις ή γενικότερα να επέμβει στο σύστημα. Rootkit Είναι ένα σετ εργαλείων, το οποίο μπορεί εύκολα να συνοδέψει οποιοδήποτε κακόβουλο λογισμικό. Χρησιμοποιείται από τον επιτιθέμενο, αφού έχει κερδίσει πρόσβαση στο σύστημα του θύματος, με κύριο σκοπό να τον βοηθήσει να κάνει την παρουσία του όσο το δυνατόν πιο διακριτική. Αυτό το πετυχαίνει διαγράφοντας, για παράδειγμα, τυχούσα πληροφορία που αφήνει πίσω του και μαρτυρά τη δραστηριότητά του. Trapdoor/Backdoor Ονομάζεται μία μέθοδος παράκαμψης της νόμιμης αυθεντικοποίησης του χρήστη, με σκοπό ο επιτιθέμενος να αποκτήσει απομακρυσμένη πρόσβαση σε κάποιο σύστημα, αρχείο ή οτιδήποτε του επιτραπεί. Μπορεί να γίνει με την εγκατάσταση κάποιου προγράμματος ή να αποτραπεί η αναγνώρισή του μέσω rootkit. Bots-Zombies Λέγεται τύπος κακόβουλου λογισμικού, το οποίο έχει στόχο τη μόλυνση όσο το δυνατόν περισσότερων υπολογιστών (zombies) για να τους κάνει μέλη ενός ολόκληρου στρατού αυτοματοποιημένης δραστηριότητας. Αυτό σημαίνει ότι όλα τα zombies θα ανήκουν στο ίδιο δίκτυο (botnet), το οποίο διαχειρίζεται ο επιτιθέμενος και μπορούν να χρησιμοποιηθούν για περαιτέρω επιθέσεις ή συλλογή στοιχείων. Brute Force Attack Είναι ένας τύπος επίθεσης, με τον οποίο ο θύτης δοκιμάζει κάθε είδους πιθανό συνδυασμό, για να αποκτήσει πρόσβαση σε ένα σύστημα. Ο επιτιθέμενος εκμεταλλεύεται το γεγονός ότι οι κανόνες για τους χαρακτήρες που χρησιμοποιούνται σε έναν κωδικό είναι συγκεκριμένοι και ευρέως γνωστοί. Μια τέτοια τεχνική έχει πάντα επιτυχία, αλλά ο χρόνος που θα χρειαστεί εξαρτάται από το μέγεθος του κωδικού και αυξάνεται με γεωμετρική πρόοδο, με αποτέλεσμα να μην είναι πάντα συμφέρουσα. Μπορεί να γίνει είτε απομακρυσμένα είτε με άμεση επαφή με το σύστημα. Επίθεση Λεξικού (Dictionary Attack) Είναι μία μέθοδος η οποία βασίζεται σε αδύναμους ή προβλέψιμους κωδικούς χρηστών. Οι δημιουργοί των λεξικών προσθέτουν στη λίστα τους εργοστασιακούς κωδικούς ή αρχικούς ενός συστήματος, διάφορες λέξεις και αριθμούς που τρέχουν συνδυαστικά. -7-

18 Βάσει ερευνών η πλειοψηφία των χρηστών χρησιμοποιεί πολύ απλούς κωδικούς, με αποτέλεσμα να βρίσκονται ήδη σε κάποιο σε λεξικό. Οι πιο σύγχρονες μορφές cracking εκμεταλλεύονται συλλεγμένα στοιχεία για κάποιο χρήστη και τα χρησιμοποιούν για να παράγουν πιθανούς κωδικούς. Precomputation Πρόκειται για μία μορφή επίθεσης τύπου λεξικού, με τη διαφορά ότι, πριν ξεκινήσει τις συγκρίσεις, κρυπτογραφεί ολόκληρο το λεξικό με έναν συγκεκριμένο αλγόριθμο. Με αυτόν τον τρόπο ο έλεγχος γίνεται πιο γρήγορα, δηλαδή το κόστος μειώνεται, ενώ παράλληλα εκμεταλλεύεται την ευπάθεια που έχουν ορισμένοι αλγόριθμοι κρυπτογράφησης να παράγουν το ίδιο κρυπτογράφημα από διαφορετικές λέξεις. Κοινωνική Μηχανική (Social Engineering) Πρόκειται περί τεχνικής εξαπάτησης ατόμων με χρήση του προφορικού λόγου ή διαφόρων απομακρυσμένων τεχνασμάτων. Έχει σκοπό την απόσπαση πληροφοριών του θύματος, οι οποίες είναι πιθανό να φανούν χρήσιμες για περαιτέρω πρόσβαση σε ευαίσθητα δεδομένα. Διαδικτυακό Ψάρεμα (Phishing) Ονομάζεται ένα είδος της τεχνικής social engineering, το οποίο προσπαθεί να πείσει το χρήστη ότι αυτό που βλέπει είναι απαραίτητο στον ίδιο ή τον υπολογιστή του. Έχει σκοπό την εκμετάλλευση κενών στην προστασία του συστήματος του θύματος για την απόσπαση ιδιωτικής πληροφορίας. Vanilla Password Cracking Είναι επίσης είδος της social engineering και αφορά τις περιπτώσεις που ο επιτιθέμενος έχει ίσως ήδη αποσπάσει πληροφορίες και προσπαθεί να μαντέψει κάποιον κωδικό (guessing). [4][5][6][7] Σύμφωνα με μία στατιστική αναφορά που δημοσιοποιήθηκε, οι 10 μέθοδοι που χρησιμοποιούνται κατά κόρον στην ηλεκτρονική κατασκοπεία εξαρτώνται κατά 85% από εξωτερικούς παράγοντες και 15% από εσωτερικούς. Πιο αναλυτικά, εκείνες που χρησιμοποιούνται από τους εξωτερικούς παράγοντες μπορεί να προέρχονται από ασύνδετα μέρη, την επιβολή του νόμου, από πελάτες ή λογιστικό έλεγχο. Αντίθετα, οι εσωτερικοί υπαίτιοι μπορεί να χρησιμοποιούν τα προγράμματα Anti-Virus, το σύστημα α- νίχνευσης εισβολών στο δίκτυο (NIDS - Network Intrusion Detection System), τις αναφορές των χρηστών, την ανασκόπηση της κίνησης του χρήστη (log review) και άλλες ή άγνωστες μεθόδους. Στην εικόνα 3 απεικονίζονται τα προαναφερθέντα ποσοστά, σε φθίνουσα κατάταξη. [8] -8-

19 70% 67% Ασύνδετα μέρη (εξωτ.) 60% Επιβολή νόμου (εξωτ.) 50% 40% Antivirus (εσωτ.) NIDS (εσωτ.) Αναφορές χρήστη (εσωτ.) 30% 20% 10% 0% 16% 8% 2% 2% 1% 1% 1% 1% 1% Log review (εσωτ.) Άγνωστες (εσωτ.) Άλλες (εσωτ.) Πελάτες (εξωτ.) Λογιστικός έλεγχος (εξωτ.) Μέθοδοι Εικόνα 3: Οι 10 πιο συχνά χρησιμοποιούμενες μέθοδοι απόσπασης πληροφορίας στην ηλεκτρονική κατασκοπεία. 2.3 Πιθανοί Θύτες και Θύματα Για να προσδιοριστούν με μεγαλύτερη ακρίβεια οι θύτες και οι προθέσεις τους, θα πρέπει πρώτα να μελετηθούν τα θύματα και οι πιθανές απώλειές τους Θύματα Μία εταιρεία ασφάλειας στον κυβερνοχώρο εκπόνησε μια μελέτη σχετικά με τις τάσεις της απειλητικής δραστηριότητας, χρησιμοποιώντας στατιστικά στοιχεία του Όπως φαίνεται στην εικόνα 4, οι 10 επαγγελματικοί τομείς που δέχτηκαν τις περισσότερες παραβιάσεις δεδομένων είναι, με φθίνουσα σειρά, η υγειονομική περίθαλψη, η κυβέρνηση, η παιδεία, τα οικονομικά, οι τέχνες και τα μέσα ενημέρωσης, το λογισμικό των υπολογιστών, η λιανική πώληση, η φιλοξενία ιστοσελίδων (hosting), η α- σφάλιση και τέλος, η τεχνολογία της πληροφορίας (IT). -9-

20 Τομείς 2,7% 2,7% 3,2% 4,3% 4,9% 5,4% 7,6% 13% 13,5% 43% Τεχνολογία πληροφορίας Ασφάλιση Φιλοξενία Λανική πώληση Λογισμικό Η/Υ Τέχνες & Μ.Μ.Ε. Οικονομικά Παιδεία Κυβέρνηση Υγειονομική περίθαλψη 0% 10% 20% 30% 40% 50% Εικόνα 4: Στατιστικά στοιχεία των 10 επαγγελματικών τομέων που δέχτηκαν τις περισσότερες παραβιάσεις δεδομένων το Βάσει της ίδιας έρευνας, τα στατιστικά στοιχεία των 10 επαγγελματικών τομέων, των οποίων εκτέθηκαν τα περισσότερα δεδομένα διακρίνονται στην εικόνα 5. [9] Τομείς 0,1% 0,2% 0,4% 0,7% 1,7% 1,7% 2,2% 8% 41% 44% Ενέργεια Λιανική πώληση Οικονομικά Τέχνες και Μ.Μ.Ε. Κυβέρνηση Μ.Κ.Ο. Ασφάλιση Υγειονομική περίθαλψη Τεχνολογία πληροφορίας Λογισμικό Η/Υ 0% 10% 20% 30% 40% 50% Εικόνα 5: Στατιστικά στοιχεία των 10 επαγγελματικών τομέων που δέχτηκαν τις περισσότερες εκθέσεις δεδομένων το

21 2.3.2 Θύτες Το hacking και ο πολιτικός ακτιβισμός είναι δύο από τους μεγαλύτερους υπεύθυνους της απώλειας δεδομένων. Παρόλα αυτά, υπάρχουν πολλοί ακόμα παράγοντες που πρέπει να προσεχθούν για να αποφευχθεί η ήδη παρατηρούμενη αύξηση τέτοιου είδους συμβάντων. Κάποιοι από αυτούς είναι η εξωτερική ή εσωτερική κλοπή, η απάτη ή ακόμα και η ακούσια έκθεση. Στην εικόνα 6 φαίνονται ποσοστά εκείνων που είναι υπεύθυνοι για τις περισσότερες παραβιάσεις δεδομένων το 2011, ενώ στην εικόνα 7 διακρίνονται τα ποσοστά εκείνων, οι οποίοι ευθύνονται για την έκθεση των περισσότερων δεδομένων το 2011, με φθίνουσα σειρά. [9] 40% 35% 34% 30% 25% 29,0% 24,2% Κλοπή ή ζημιά Hacking 20% Κατά λάθος 15% Κλοπή εκ των έσω Απάτη 10% 6,8% Άγνωστο 5% 2,9% 2,8% 0% Αιτίες Εικόνα 6: Στατιστικά στοιχεία των σημαντικότερων παραγόντων που είναι υπεύθυνοι για τις περισσότερες παραβιάσεις δεδομένων το

22 90,0% 80,0% 80,5% 70,0% 60,0% Hacking 50,0% 40,0% Κλοπή ή ζημιά Απάτη Κατά λάθος 30,0% Άγνωστο 20,0% Κλοπή εκ των έσω 10,0% 0,0% 8% 6% Αιτίες 3,3% 2,1% 0,003% Εικόνα 7: Στατιστικά στοιχεία των σημαντικότερων παραγόντων που είναι υπεύθυνοι για τις περισσότερες εκθέσεις δεδομένων το Είδη απώλειας και κόστος Όπως ήταν αναμενόμενο, η πιο δημοφιλής πληροφορία που εκθέτεται από σκόπιμες παραβιάσεις δεδομένων είναι ονόματα, διευθύνσεις και αριθμοί πιστωτικών καρτών και ανέρχεται στο 33%. Σημαντικό, επίσης, ενδιαφέρον παρουσιάζουν από τους επιτιθέμενους τα ονόματα χρήστη (usernames), οι salted κωδικοί και οι αγορές μέσω διαδικτύου, τα οποία βρίσκονται στο 16%. Ένα, ακόμη, 16% της προσοχής των θυτών καταλαμβάνουν τα ονόματα, οι τηλεφωνικοί αριθμοί, οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι κωδικοί τους. Στο 12% βρίσκονται δεδομένα όπως πραγματικές διευθύνσεις, η- μερομηνίες γέννησης ή πληροφορίες λογαριασμών, ενώ ένα 6% απασχολούν user IDs σε συνδυασμό με τα ονόματα και τους κωδικούς τους. Στην εικόνα 8 απεικονίζονται τα παραπάνω ποσοστά με φθίνουσα σειρά. [9] -12-

23 35% 33% Ονόματα, δ/νσεις, αριθμοί πιστωτικών καρτών 30% 25% Ονόματα χρήστη, salted κωδικοί, ηλεκτρονικές αγορές 20% 15% 10% 5% 16% 16% 12% 6% Ονόματα, τηλ. αριθμοί, , κωδικοί πρόσβασης Ταχυδρομικές δ/νσεις, ημ/νίες γέννησης, πληροφορίες λογαριασμών User IDs, ονόματα, κωδικοί 0% Πληροφορία Εικόνα 8: Είδη πληροφορίας που εκθέτονται περισσότερο από σκόπιμες παραβιάσεις δεδομένων. Αν από μία μεμονωμένη επίθεση μπορούν να χαθούν πολλά και σημαντικά δεδομένα, μπορεί να υποτεθεί το μέγεθος της απώλειας όταν πρόκειται για κατασκοπευτικό λογισμικό. Έχει αποδειχτεί πως το 62% των θυμάτων που αντιλαμβάνονται την κατάσταση στην οποία βρίσκονται το κατορθώνουν μετά από μήνες κατασκοπείας, ενώ το 5% το συνειδητοποιούν μετά από χρόνια. Μετά από βδομάδες το αντιλαμβάνεται ένα σημαντικό 16% και μόνο το 8% και 9% το αναγνωρίζει μετά από μέρες ή ώρες, αντίστοιχα. Φυσικά 0% των θυμάτων δεν είναι σε θέση να το συνειδητοποιήσουν άμεσα, σε λεπτά ή δευτερόλεπτα. Στην εικόνα 9 διακρίνονται τα προαναφερθέντα ποσοστά σε αύξουσα χρονική κατάταξη. [8] -13-

24 0% Διάρκεια 0% 9% 8% 16% Δευτερόλεπτα Λεπτά Ώρες Ημέρες Εβδομάδες 62% Μήνες 5% Χρόνια 0% 10% 20% 30% 40% 50% 60% 70% Εικόνα 9: Χρονική διάρκεια κατά την οποία δρα το λογισμικό κατασκοπείας μέχρι να γίνει α- ντιληπτό από το θύμα. Λαμβάνοντας υπόψη τα παραπάνω στατιστικά στοιχεία μπορεί να γίνει κατανοητό πόσο επιβλαβές μπορεί να αποβεί κάποιο συμβάν απώλειας δεδομένων σε μια επιχείρηση ή οργανισμό. Ορισμένα από τα πιο καταστροφικά περιστατικά τέτοιου είδους παραθέτονται παρακάτω. Ο Albert Gonzalez, κουβανοαμερικανικής καταγωγής και οι δύο Ρώσοι συνεργοί του κατηγορήθηκαν για την κλοπή πιστωτικών και χρεωστικών καρτών από την Heartland Payment Systems, που έγινε το Μάρτιο του Ο Albert τελικά καταδικάστηκε σε 20 χρόνια φυλάκισης το Μάρτιο του 2010, καθώς αποδείχτηκε ο εγκέφαλος της διεθνούς αυτής επιχείρησης. Μέσω SQL injection εγκατέστησαν λογισμικό κατασκοπείας στα συστήματα δεδομένων της εταιρείας, ενώ οι αναλυτές της προειδοποιούσαν για αυτό το κενό ασφαλείας για χρόνια. Η εταιρεία Epsilon αριθμεί πάνω από μάρκες από όλον τον κόσμο και διαχειρίζεται περισσότερα από 40 δις s ετησίως. Το Μάρτιο του 2011 κλάπηκαν τα ονόματα και τα s εκατομμυρίων πελατών, καθώς και μεγάλων οικονομικών μαρκών και της College Board, μη κυβερνητικής εκπαιδευτικής οργάνωσης. Η πηγή της διαρροής παραμένει ανεξιχνίαστη. Οι ειδικοί υποστηρίζουν ότι θα μπορούσε να οδηγήσει σε αμέτρητες προσωπικές επιθέσεις, όπως το -14-

25 phishing. Ειπώθηκε ότι η συγκεκριμένη απώλεια υπολογίζεται να κόστισε στην εταιρεία περίπου 4 δις δολάρια, παρόλα αυτά οι απόψεις διαφέρουν. Το Μάρτιο του 2011 η RSA Security δέχτηκε επίθεση κλοπής περίπου 40 εκατομμυρίων εργασιακών δεδομένων. Το ευτύχημα της υπόθεσης είναι ότι δε φάνηκε να κλάπηκαν πελατειακά δεδομένα. Η εταιρεία υποστηρίζει πως οι υπάλληλοί της δέχτηκαν κατά συρροή επιθέσεις phishing από δύο ομάδες hacker σε συνεργασία με μία ξένη κυβέρνηση και ότι η απώλεια τής κόστισε τουλάχιστον 66 εκατομμύρια δολάρια. Ο επικεφαλής ασφαλείας της επιχείρησης ανέφερε ότι το κόστος, πέρα από οικονομικό, ήταν και ψυχολογικό για τους πελάτες αλλά και τους εργαζόμενους, καθώς πρόκειται για ένα περιβάλλον που κάποτε θεωρούσαν απρόσβλητο, μιας και επρόκειτο για εταιρεία ασφαλείας. Το Stuxnet είναι ένα ηλεκτρονικό σκουλήκι, το οποίο δημιουργήθηκε για την προσβολή κυρίως συστημάτων τύπου SCADA και PLC. Χρησιμοποιήθηκε εναντίον του πυρηνικού προγράμματος του Ιράν, αλλά και για να εισβάλει και να διακόψει τις λειτουργίες των υπηρεσιών των δικτύων ενέργειας, ύδρευσης και δημοσίων συγκοινωνιών. Το Stuxnet κατέστρεψε το 1/5 των πυρηνικών φυγοκεντρωτών. Η συγκεκριμένη παραβίαση ήταν η πρώτη που γεφύρωσε κάτι εικονικό με ένα τόσο μεγάλο, αλλά κυρίως απτό πρόβλημα και έφερε τον κυβερνοπόλεμο σε ανώτερο επίπεδο. Στις 3 Μαΐου 2006 διερρήχθη το σπίτι ενός αναλυτή υποθέσεων βετεράνων στο Maryland των Η.Π.Α. και κλάπηκαν ένας φορητός υπολογιστής και ένας εξωτερικός σκληρός δίσκος. Τα υλικά αυτά ήταν μη κρυπτογραφημένα και περιείχαν εθνική βάση δεδομένων με ονόματα, αριθμούς κοινωνικής ασφάλισης, ημερομηνίες γεννήσεως και κάποιες αξιολογήσεις αναπηρίας για 26,5 εκατομμύρια βετεράνους, ενεργό στρατιωτικό προσωπικό και τους/τις συζύγους τους. Ο αναλυτής το δήλωσε στην αστυνομία άμεσα, αλλά ο γραμματέας των υποθέσεων των βετεράνων ενημερώθηκε στις 16 Μαΐου, οπότε και την επομένη ενημέρωσε το FBI, ενώ ο οργανισμός των υποθέσεων των βετεράνων δεν έκανε καμία δημόσια δήλωση μέχρι τις 22 Μαΐου. Τελικά, παρότι στις 29 Ιουνίου 2006 κάποιος άγνωστος επέστρεψε τα κλοπιμαία, η ζημία του συμβάντος εκτιμήθηκε στα εκατομμύρια δολάρια. Στις 20 Απριλίου του 2011 παραβιάστηκε το δίκτυο της PlayStation, με αποτέλεσμα οι επιτιθέμενοι να αποκτήσουν πρόσβαση σε πλήρη ονόματα, κωδικούς πρόσβασης, s, ταχυδρομικές διευθύνσεις, ιστορικό αγορών, αριθμούς πι- -15-

26 στωτικών καρτών, καθώς και λογαριασμούς PSN/Qriocity με τους κωδικούς τους, περισσότερων από 77 εκατομμύρια πελατών. Από τους αριθμούς πιστωτικών καρτών που υπήρχαν, τα 12 εκατομμύρια ήταν μη κρυπτογραφημένα. Η ι- στοσελίδα ήταν εκτός λειτουργίας για ένα μήνα, ενώ η χρηματική ζημία της Sony ήταν εκατομμυρίων. Η ESTsoft είναι ένας από τους σημαντικότερους νοτιοκορεάτικους παρόχους λογισμικού. Τον Ιούλιο-Αύγουστο του 2011 δέχτηκε επίθεση από κινέζικες IP διευθύνσεις. Οι επιτιθέμενοι εγκατέστησαν κακόβουλο λογισμικό σε έναν εξυπηρετητή, ο οποίος χρησιμοποιείται για να ενημερώνει την ALZip, εφαρμογή συμπίεσης της εταιρείας. Με αυτόν τον τρόπο κατάφεραν να κλέψουν τα ονόματα, τα user IDs, τους hashed κωδικούς, τις ημερομηνίες γέννησης, τα φύλα, τους τηλεφωνικούς αριθμούς και τις ταχυδρομικές και ηλεκτρονικές διευθύνσεις που βρίσκονταν σε μία βάση δεδομένων του ίδιου δικτύου. Ο διευθύνων σύμβουλος της εταιρείας απολογήθηκε εκ μέρους της και δεσμεύτηκε να ενισχυθεί η ασφάλεια του δικτύου τους. [10] Όπως μπορεί εύκολα να γίνει αντιληπτό, όταν χάνονται δεδομένα τα οποία μπορούν να ανακτηθούν, η εκάστοτε εταιρεία ή οργανισμός θα πρέπει να απευθυνθεί σε ειδικούς ώστε να αποφευχθεί η μόνιμη απώλειά τους. Αν συμπεριλάβουμε όλες τις περιπτώσεις απώλειας της πληροφορίας, το 83% αυτής είναι ανακτήσιμο και η εργασία των αρμόδιων εταιρειών είναι εξαιρετικά ακριβή. Από την άλλη μεριά, αν τα δεδομένα χάνονται ανεπανόρθωτα, τότε υπάρχει το σημαντικό κόστος των ίδιων των δεδομένων ή της πιθανώς δυνατής επαναδημιουργίας τους. Βάσει της εικόνας 10, όπου φαίνεται πώς κοστολογείται κατά μέσο όρο η απώλεια δεδομένων για κάθε επεισόδιο, το μέσο συνολικό κόστος ενός επεισοδίου αποδίδεται στα $3.957,00. Αυτό σημαίνει ότι το μέσο συνολικό κόστος απώλειας δεδομένων μόνο στις αμερικανικές επιχειρήσεις ανέρχεται στα $18,2 δισεκατομμύρια. Τα παραπάνω στοιχεία βασίζονται σε μία έρευνα που έγινε με στοιχεία του 1999 στις ΗΠΑ. Από τότε τα επεισόδια παγκοσμίως έχουν αυξηθεί πολύ, επομένως το ίδιο και το κόστος τους. [2] -16-

27 Κόστος $340,00 $217,00 $3.400,00 Τεχνικές υπηρεσίες Χαμένη παραγωγικότητα Αξία χαμένων δεδομένων Εικόνα 10: Μέσος όρος κόστους απώλειας δεδομένων για κάθε επεισόδιο. -17-

28

29 3 Προστασία Δεδομένων Πολλές είναι οι επιχειρήσεις που αγνοούν τις πιθανότητες να γίνουν οι δέκτες μιας επίθεσης, με στόχο την υποκλοπή των δεδομένων τους. Αυτό έχει σαν αποτέλεσμα να διαχειρίζονται τα προγράμματα και την πληροφορία τους με ιδιαίτερα μη ασφαλείς τρόπους και να αυξάνουν το ρίσκο. Σε αυτό το κεφάλαιο αναλύονται διάφοροι τρόποι, με τους οποίους οι εταιρείες μπορούν να προνοήσουν για να μη βρεθούν εξ απροόπτου. Προτείνεται επίσης και βοηθητικό λογισμικό, με σκοπό να αυξηθεί ακόμα περισσότερο η ασφάλειά τους ή να επανακτηθεί η πιθανώς χαμένη πληροφορία. 3.1 Τρόποι Διαχείρισης Παρακάτω αναλύονται διάφορες κινήσεις που μπορούν να κάνουν οι επιχειρήσεις ή οι οργανισμοί, ανάλογα με την περίσταση, ώστε να μειώσουν τις πιθανότητες κάποιας ε- πίθεσης. Εισβολή στα σημεία πώλησης Αρκετές φορές η αδυναμία βρίσκεται στα συστήματα POS (Point of Sale systems) ή σε κάποιον ενδογενή ανθρώπινο παράγοντα. Αυτό που μπορούν να κάνουν οι εταιρείες, αρχικά, είναι να περιορίσουν την απομακρυσμένη πρόσβαση σε αυτά τα συστήματα από τρίτους διαχειριστές πωλήσεων ή μη άμεσα αρμόδιους και να κάνουν σοβαρές υ- ποδείξεις για το πώς εκείνοι θα πρέπει να ασκήσουν τα καθήκοντά τους σωστά και α- κίνδυνα. Θα πρέπει ακόμα να επιβάλουν συγκεκριμένες πολιτικές για τους κωδικούς πρόσβασης. Δηλαδή, να αλλάζουν τους εργοστασιακούς κωδικούς και να φροντίζουν να μην χρησιμοποιούν λέξεις που βρίσκονται συχνά σε λεξικά ή μπορεί κάποιος να τις μαντέψει εύκολα, όπως για παράδειγμα το όνομα του POS πωλητή. Για μεγαλύτερη σιγουριά, καλό θα ήταν κάθε κωδικός να είναι μοναδικός και να περιέχει επιπλέον τουλάχιστον ένα κεφαλαίο γράμμα, έναν αριθμό και ένα σύμβολο. Ακόμα κι αν κάποιος τρίτος είναι υπεύθυνος για αυτό, θα πρέπει να γίνεται έλεγχος και να επιβεβαιώνεται ότι τηρείται η παραπάνω πολιτική. -19-

30 Σημαντικό, επίσης, είναι να μη χρησιμοποιούν τον υπολογιστή και την πλοήγηση στο internet για προσωπική χρήση, όπως να παίζουν παιχνίδια, να επισκέπτονται τα κοινωνικά τους δίκτυα ή το ηλεκτρονικό τους ταχυδρομείο. Αντίθετα, προτείνεται να γίνεται χρήση μόνο σε ό,τι αφορά το εκάστοτε σύστημα POS ή ακόμα και να γίνουν συγκεκριμένες φραγές στο πρόγραμμα περιήγησης (browser) ή στο τείχος προστασίας (firewall). Κάτι πολύ βασικό που πρέπει να έχουν επιπλέον υπόψη τους οι εταιρείες είναι να εγκαταστήσουν ένα καλό Anti-Virus πρόγραμμα, με συνεχή ενημέρωση για τους νέους ιούς που κυκλοφορούν. Σαν ελάχιστη προσδοκία θα πρέπει να κάνουν δύσκολη τη σύνδεση σε συγκεκριμένη πληροφορία, κυρίως για εκείνον τον επιτιθέμενο ο οποίος ωθείται από οικονομικά ερεθίσματα. Οι μεγαλύτερες εταιρείες, τύπου πολυκαταστημάτων ή franchise, θα ήταν ασφαλέστερο αν διαχειριστούν τις διασυνδέσεις μεταξύ κεντρικών και καταστημάτων ως μερικώς αξιόπιστες, διότι γίνονται πιο εύκολα στόχος κακόβουλων επιθέσεων. Προτείνεται, επομένως, η επανεξέταση και τμηματοποίησή τους από τα κεντρικά, ώστε ακόμα κι αν κάποιος αποκτήσει πρόσβαση σε ένα εκ των καταστημάτων, να μην κινδυνέψουν και τα κεντρικά ή τα υπόλοιπα καταστήματα. Κάτι πιο εξειδικευμένο πλην σημαντικού, το οποίο καλό είναι να εξετάσουν κυρίως οι μεγαλύτερες επιχειρήσεις, είναι η κίνηση του δικτύου (network traffic). Μέσω παρακολούθησής του, το φυσιολογικό είναι να φαίνεται μία ομαλοποιημένη κίνηση. Αν πέσει στην αντίληψή τους μη φυσιολογική κίνηση θα πρέπει να εντοπίζεται και να ερευνάται. Ενώ ένας σωστά διαμορφωμένος κωδικός πρόσβασης είναι πολύ σημαντικός, θα ήταν αποτελεσματικότερος ο συνδυασμός του με κάποιον άλλον παράγοντα, ειδικά για τις μεγαλύτερες εταιρείες. Τέτοιος θα μπορούσε να είναι μία ερώτηση ασφαλείας, ένα κρυπτογραφημένο μήνυμα ή τη σάρωση ενός γραμμικού κώδικα (barcode). Με την προϋπόθεση, φυσικά, ότι την απάντηση, το κλειδί και το γραμμικό κώδικα, αντίστοιχα, τα έχει μόνο ο εκάστοτε αρμόδιος χρήστης σε κάποια εξωτερική του συστήματος συσκευή. Επιθέσεις εφαρμογών διαδικτύου Συχνά οι επιτιθέμενοι εκμεταλλεύονται ευπάθειες του κώδικα των διαδικτυακών εφαρμογών, παραδείγματος χάριν την έλλειψη ή την παρεμπόδιση μηχανισμών ελέγχου ταυτότητας. Σε αυτές τις περιπτώσεις, οι διαχειριστές της ιστοσελίδας ή του οτιδήποτε -20-

31 που βρίσκεται στο internet θα πρέπει να έχουν έναν πολύ ασφαλή κωδικό πρόσβασης ή να ψάξουν για εναλλακτικές λύσεις αυθεντικοποίησης εκείνων που συνδέονται στην ίδια εφαρμογή. Το ίδιο θα πρέπει να πράξουν και εκείνοι που είναι πωλητές σε μία τέτοια εφαρμογή, για την ασφάλεια των ίδιων αλλά και των πελατών τους. Οι πιο ευπαθείς ομάδες τέτοιου είδους εφαρμογών είναι συνήθως εκείνες που βασίζονται σε πλατφόρμες CMS, όπως Joomla, WordPress, OpenCart, κ.ά. Αυτό συμβαίνει κυρίως, διότι εξαρτώνται από το αν θα εκδοθεί κάποιο πρόσθετο για την ασφάλειά τους και από το πόσο αποτελεσματικό θα είναι. Για το λόγο αυτό, επισημαίνεται η επανεξέταση των CMS σε ευρύτερο επίπεδο. Μια ικανοποιητική αρχή είναι η εύρεση ενός αυτόματα ενημερώσιμου πρόσθετου, προσανατολισμένο στη συγκεκριμένη εργασία. Αν δεν υπάρχει κάτι τέτοιο ή δεν είναι αποτελεσματικό, τότε καλό θα ήταν να δημιουργηθεί ένα χειροκίνητα. Ο ιδανικός, φυσικά, τρόπος είναι οι διαχειριστές να ψάξουν τις ευπάθειες της εφαρμογής, πριν το κάνει κάποιος κακόβουλος και να τις διορθώσουν. Αν δεν έχουν γνώση του αντικειμένου, πρόσβαση στον πηγαίο κώδικα ή επικοινωνία με τους δημιουργούς, τότε το καλύτερο θα ήταν να βεβαιωθούν ότι το συμβόλαιό τους τούς καλύπτει στο να διορθωθεί ένα τρωτό σημείο όταν αυτό ανιχνευθεί ή ότι έχουν κάποιον άλλον αρμόδιο σε επιφυλακή για να τους βοηθήσει σε μία ατυχή στιγμή. Κάτι που επίσης θα μειώσει τις πιθανότητες εισβολής στη διαχείριση, είναι η επιβράδυνση των πολλαπλών προσπαθειών ή ακόμα και το προσωρινό κλείδωμα του λογαριασμού στις πολλαπλές αποτυχημένες προσπάθειες εισαγωγής κωδικού πρόσβασης. Με αυτόν τον τρόπο, αποφεύγεται ένα σημαντικό κομμάτι πιθανών μορφών επίθεσης, όπως είναι οι επιθέσεις brute force, λεξικού ή social engineering. Πολλοί επιτιθέμενοι βασίζονται στο τείχος προστασίας για να παρακάμψουν το πρωτόκολλο επικοινωνίας HTTP ή ακόμα μετατρέπουν ένα διακομιστή (server) σε πελάτη (client). Μπορεί επίσης για να συνεχίσουν μία επίθεση να προσθέσουν περεταίρω κακόβουλο λογισμικό, ώστε να αποσπάσουν πληροφορίες ή να προκαλέσουν άρνηση εξυπηρέτησης (DoS Denial of Service). Αν κάποια από τις παραπάνω διαδικασίες δεν προβλέπεται από τον τρόπο που λειτουργεί μία συγκεκριμένη εταιρεία, τότε προτείνεται να τις κλειδώσουν στον εξυπηρετητή τους. Κατάχρηση εμπιστευτικών πληροφοριών και προνομίων Τα περισσότερα από τα επεισόδια απώλειας δεδομένων που σχετίζονται με κατάχρηση προέρχονται από ενδογενείς παράγοντες. Υπάρχουν, βέβαια και οι εξωτερικοί, -21-

32 λόγω συμπαιγνιών ή παραπάνω προνομίων σε συνεργάτες από όσο θα έπρεπε. Παρότι δεν είναι εφικτό να ελεγχθούν όλοι οι υπάλληλοι, μία καλή αρχή για να μειωθούν αυτές οι περιπτώσεις είναι οι επιχειρήσεις να γνωρίζουν τα δεδομένα τους, πώς κινούνται και ποιος έχει πρόσβαση σε αυτά. Βάσει αυτού, όταν ανιχνεύονται τέτοιες διαχειρίσεις ευαίσθητων δεδομένων από εργαζόμενους ή συνεργάτες, να αξιολογούνται αναλόγως. Αν το ατόπημά τους είναι σοβαρό, να απενεργοποιούνται οι λογαριασμοί τους και να χάνουν άμεσα οποιαδήποτε πρόσβαση, ειδικότερα αν απολυθούν. Θέτοντας επίσης κάποια κομβικά σημεία, μπορούν ίσως να προστατέψουν ή να ανιχνεύσουν ποιος καταχράται και τι, με τη βοήθεια ειδικευμένου λογισμικού. Τέτοια σημεία μπορεί να είναι εκείνα εκ των οποίων ανιχνεύεται εξαγωγή πληροφορίας από την επιχείρηση. Προνοητική είναι, ακόμη, η ανακοίνωση των αποτελεσμάτων των παραπάνω ερευνών. Όταν οι εργαζόμενοι γνωρίζουν ότι γίνονται τέτοιου είδους έλεγχοι κι ότι υπάρχουν επιπτώσεις, υπάρχουν πολύ καλές πιθανότητες να δράσει ανασταλτικά στην κακή αυτή συμπεριφορά. Φυσική κλοπή και απώλεια Πολλές φορές η απώλεια της πληροφορίας μπορεί να προέλθει από φυσικούς παράγοντες, όπως λανθασμένη τοποθέτηση ή κακόβουλη πράξη. Το ότι συνηθίζεται να χάνονται ή να κλέπτονται πράγματα δεν αλλάζει, μπορούν όμως να μετριαστούν οι πιθανότητές να συμβεί κάτι τέτοιο ή το μέγεθος της απώλειας. Αυτό μπορεί αρχικά να συμβεί κρυπτογραφώντας τις συσκευές που περιέχουν τα δεδομένα με έναν εξελιγμένο αλγόριθμο, ο οποίος θα κάνει το χρόνο που θα χάσει ο θήτης στη διάρκεια της προσπάθειας πολυτιμότερο από ό,τι το ίδιο το περιεχόμενο. Μία ίσως φαινομενικά παράλογη τακτική πλην αποτελεσματικής, είναι οι υπάλληλοι που είναι αρμόδιοι για κάποια συσκευή να την έχουν πάντα κοντά τους. Όταν η συσκευή πρέπει να μείνει οπωσδήποτε αφύλακτη, τότε να κλειδώνεται σε ένα ντουλάπι ή θάλαμο. Αν πρέπει να μείνει στο αυτοκίνητο, τότε να μπαίνει στο πορτ-μπαγκάζ και ποτέ να μην αφήνεται εκεί ολονυκτίως. Η πιο απλή λύση στη μόνιμη απώλεια πληροφορίας είναι η δημιουργία αντιγράφων. Με αυτόν τον τρόπο κερδίζεται το ποσό που θα δινόταν στους ειδικούς για την ανάκτησή τους, καθώς και ο χρόνος που θα χρειαζόταν για αυτή τη διαδικασία και θα έλλειπε από την παραγωγή. Αν τα αντίγραφα δημιουργούνται αυτόματα, τότε κερδίζεται επι- -22-

33 πλέον χρόνος, αλλά και ο κίνδυνος η πιθανή απώλεια να προηγηθεί της τελευταίας α- ντιγραφής. Ακόμη κι αν συμβεί να χαθεί κομμάτι των δεδομένων, έχοντας διαθέσιμα τα υπόλοιπα αντίγραφα, οι αρμόδιοι μπορούν να πάρουν μια ιδέα του τι πληροφορία χάθηκε, ώστε να αποφασίσουν αν αξίζουν να επανακτηθούν ή αναδημιουργηθούν. Η φυσική κλοπή δεν είναι απαραίτητο ότι σχετίζεται μόνο με τις συσκευές, μπορεί επίσης να αφορά κάποια απρόσεκτα τοποθετημένα έγγραφα, τα οποία προδίδουν κωδικούς πρόσβασης ή είναι η αφορμή μιας επιτυχημένης επίθεσης social engineering. Καθώς τέτοια έγγραφα είναι πολύ συχνό φαινόμενο, ασφαλέστερο θα ήταν, όταν δεν επιβλέπονται, να αποθηκεύονται σε σημεία που κλειδώνουν και να φυλάσσεται το κλειδί. Ο σύγχρονος εξοπλισμός είναι συνήθως πολύ πιο δελεαστικός από κάτι παλαιότερο. Μπορεί να φαίνεται παράλογο, αλλά αν δεν υπάρχει χρηστικό πρόβλημα, η χρήση μη δελεαστικών συσκευών μπορεί να λειτουργήσει αποτρεπτικά για τον εν δυνάμει κλέφτη. Αν, από την άλλη μεριά, οι απαιτήσεις της επιχείρησης είναι τέτοιες που δεν ικανοποιούνται με παλιό εξοπλισμό, τότε υπάρχουν ειδικά καλύμματα στην αγορά, τα ο- ποία κάνουν τις εξελιγμένες συσκευές να μοιάζουν ξεπερασμένες και απωθητικές. Διάφορα σφάλματα Μια ακόμα περίπτωση που οφείλεται να ληφθεί υπόψη, είναι ο παράγοντας τύχη. Όταν, δηλαδή, ακούσιες πράξεις διακυβεύουν την ασφάλεια ενός συστήματος. Μία ι- διαίτερα καλή προσέγγιση είναι τα λογισμικά προστασίας απώλειας δεδομένων (DLP Data Loss Prevention), τα οποία μπορούν να μειώσουν τις αποστολές ευαίσθητων εγγράφων μέσω ηλεκτρονικού ταχυδρομείου. Επιπλέον, επιθυμητό είναι να γίνεται πιο προσεκτικός έλεγχος στο τι δεδομένα δημοσιεύονται και να μη δημοσιεύονται όσα δεν έχουν αναθεωρηθεί. Αυτό μπορεί να πραγματοποιηθεί είτε με κάποια αυτοματοποιημένη διαδικασία είτε με έναν υπάλληλο, ο οποίος θα ελέγχει τα κείμενα που πρόκειται να μεταφορτωθούν στο διακομιστή αλλά και εκείνα που βρίσκονται ήδη εκεί. Θα πρέπει, επίσης, όταν στέλνονται μηνύματα ηλεκτρονικού ταχυδρομείου, να επιβεβαιώνεται ότι το όνομα του φακέλου αντιστοιχεί στο περιεχόμενό του. Καλό είναι επίσης να ελέγχεται και το εικονίδιο ή το παράθυρο, διότι κάποιες φορές, όταν είναι αρκετά μεγάλο ή όταν το περιεχόμενο δεν είναι σωστά κεντραρισμένο, τότε η πληροφορία φαίνεται πριν ανοιχτεί. Όταν πρόκειται για ψηφιακά δεδομένα δεν αρκεί να περαστούν στον κάδο ανακύκλωσης ή ακόμα και να διαγραφούν από εκεί, για να γίνει βέβαιο ότι χάθηκαν οριστικά. -23-

34 Οι σκληροί δίσκοι, καθώς και οι flash drives προτείνεται να δίνονται στους ειδικούς της εταιρείας ώστε να καθαριστούν καταλλήλως. Αν την εργασία αυτή την αναλαμβάνουν εξωτερικοί συνεργάτες, θα πρέπει να επιβεβαιώνεται η εχεμύθειά τους, η ασφαλής μεταφορά του υλικού, αλλά και οι κυρώσεις που θα δεχτούν αν η εργασία τους δεν ακολουθεί τους κανόνες που συμφωνήθηκαν εξ αρχής. Εγκληματικό λογισμικό (Crimeware) Αυτές οι περιπτώσεις περιλαμβάνουν περιστατικά κακόβουλων ενεργειών, τα οποία δε συγκαταλέγονται σε λογισμικό κατασκοπείας ή POS. Συνήθως οφείλονται σε ελλιπή εργασία του προγράμματος Anti-Virus ή σε αμέλεια του χρήστη να το ενημερώσει ή να το χρησιμοποιήσει σωστά. Αυτό που μπορεί να βοηθήσει, αρχικά, είναι να επιβεβαιώνεται ότι το πρόγραμμα περιήγησης και τα πρόσθετά του είναι συνεχώς ανανεωμένα με τις τελευταίες εκδόσεις. Αν η εκάστοτε εργασία το επιτρέπει, είναι επιθυμητό να απενεργοποιείται η Java στο φυλλομετρητή. Αν αυτό προκαλέσει προβλήματα στις υπόλοιπες εφαρμογές, τότε τουλάχιστον να μη χρησιμοποιούνται πρόσθετα βασισμένα στη Java, καθώς υπάρχει ιστορικό ευπαθειών. Σημαντική, ακόμη, είναι η χρήση δύο τουλάχιστον παραγόντων ελέγχου ταυτότητας. Με αυτό τον τρόπο οι λογαριασμοί των χρηστών θα γίνουν λίγο πιο ασφαλείς απέναντι στους κακόβουλους, που θέλουν να αποκτήσουν πρόσβαση σε αυτούς. Μία πιο εξεζητημένη προσέγγιση είναι να ανιχνευθούν τα δεδομένα των κακόβουλων ενεργειών, για παράδειγμα IP διευθύνσεις ή domain names που χρησιμοποιήθηκαν σε botnets και να αντιστοιχηθούν στο τείχος προστασίας ή στο διακομιστή μεσολάβησης (proxy). Είναι μια μορφή αντίστροφης μηχανικής (reverse engineering), με την ο- ποία μπορούν να αποφευχθούν μελλοντικά παρόμοια περιστατικά. Υποκλοπές καρτών πληρωμών Δεν είναι λίγα τα περιστατικά, κατά τα οποία, εμφυτεύεται με φυσικό τρόπο σε μία συσκευή ειδικός μηχανισμός, ο οποίος διαβάζει μαγνητικές λωρίδες διαφόρων καρτών. Μία εξειδικευμένη λύση είναι να σχεδιαστούν ή να αγοραστούν ειδικοί ακροδέκτες, οι οποίοι προστατεύουν από τέτοιου είδους παραβιάσεις. Καθότι ίσως είναι δύσκολη η δημιουργία ή η προμήθειά τους, καλό θα ήταν να προτιμώνται σύγχρονα μηχανήματα ATM, τα οποία είναι σχεδιασμένα με τρόπο τέτοιο, ώστε να αποφεύγονται τέτοιες ε- νέργειες. -24-

35 Προτείνεται, ακόμη, να γνωστοποιείται όποτε υπάρχει παρατήρηση μη ομαλής κίνησης της διαδικασίας στα μηχανήματα ATM. Αυτό μπορεί να γίνει με ένα απλό χαρτί ανακοίνωσης ή με αυτοματοποιημένο τρόπο, ίσως κάποιον πρόσθετο μηχανισμό, ο ο- ποίος θα μπορεί να το αναγνωρίζει και να το εμφανίζει σε μία οθόνη σε πραγματικό χρόνο. Αποτελεσματικό είναι, επίσης, να ελέγχονται συχνά τα υποψήφια μηχανήματα για τυχούσες ενδείξεις παραποίησης. Θα πρέπει επιπλέον, να γίνεται σωστή ενημέρωση του προσωπικού, ώστε να είναι σε θέση να αναγνωρίσει τέτοια σημάδια ή όταν τύχει να δει κάποιον να προσπαθεί να επέμβει σε ένα μηχάνημα κατά αυτόν τον τρόπο. Η προστασία από τέτοιου τύπου επιθέσεις, φυσικά, δεν είναι μόνο στο χέρι των ε- ταιρειών και των υπαλλήλων, αλλά και των καταναλωτών. Αυτό που πρέπει πάντα να κάνουν είναι να καλύπτουν με το χέρι τους τα στοιχεία που καταγράφονται πάνω στην κάρτα, όπως το ονοματεπώνυμό τους και τον αριθμό της κάρτας, κάθε φορά που την τοποθετούν ή την εξάγουν από το εκάστοτε μηχάνημα. Το ίδιο πρέπει να πράττουν και όταν πληκτρολογούν τον προσωπικό τους κωδικό PIN. Με αυτόν τον τρόπο αποφεύγουν τις περιπτώσεις που έχουν τοποθετηθεί μικροκάμερες στο χώρο για κακόβουλο σκοπό. Επιπλέον, όταν πέφτει στην αντίληψή τους κάτι ύποπτο, όσον αφορά το μηχάνημα που πρόκειται να χρησιμοποιήσουν, τότε να μη διακινδυνέψουν χρησιμοποιώντας το. Αυτό που πρέπει να κάνουν σε αυτή την περίπτωση είναι αν το αναφέρουν σε κάποιον αρμόδιο, ώστε να διορθωθεί άμεσα, για τη δική τους ασφάλεια αλλά και των επόμενων καταναλωτών. Κατασκοπεία στον κυβερνοχώρο Μία από τις πιο επιβλαβείς κακόβουλες δραστηριότητες στον κυβερνοχώρο είναι όταν κάποιος μη εξουσιοδοτημένος χρήστης αποκτά πρόσβαση σε συστήματα για όσο του επιτραπεί, κατασκοπεύοντας τα δεδομένα που διέρχονται από αυτά. Είτε κάποιον τον ανησυχεί αυτό το ενδεχόμενο είτε όχι, οι πιθανότητες υπάρχουν. Για το λόγο αυτό, το πιο απλό πράγμα που μπορεί να κάνει για να δυσκολέψει τον επιτιθέμενο, είναι να χρησιμοποιεί ένα καλό πρόγραμμα Anti-Virus και να το χρησιμοποιεί σωστά. Σημαντικό είναι, επίσης, να ενημερώνει όσο πιο σύντομα γίνεται ό,τι ενημερώνεται. Δηλαδή, από το λειτουργικό του σύστημα, το πρόγραμμα Anti-Virus, μέχρι το φυλλομετρητή και τα πρόσθετά του. Συνήθως οι επιτιθέμενοι βρίσκονται ένα βήμα μπροστά -25-

36 από τις ενημερώσεις ασφαλείας, οπότε με αυτόν τον τρόπο μειώνονται οι πιθανότητες επιτυχούς επίθεσης, σε σχέση με την καθυστερημένη ή μηδαμινή ενημέρωση. Κατά γενική ομολογία, ο χρήστης θεωρείται ο πιο αδύναμος κρίκος μιας επίθεσης. Παρόλα αυτά οι έρευνες έχουν δείξει σε βάθος χρόνου πως οι χρήστες έχουν ανακαλύψει περισσότερα επεισόδια κατασκοπευτικού λογισμικού, από ό,τι κάθε άλλη αυτοματοποιημένη διαδικασία. Οπότε, προτείνεται να γίνεται ανάλογη εκπαίδευση των υπαλλήλων για καλύτερα αποτελέσματα. Συχνά οι επιτιθέμενοι χρησιμοποιούν ένα μεμονωμένο υπολογιστή για να αποκτήσουν πρόσβαση σε ολόκληρο το δίκτυο. Σε αυτές τις περιπτώσεις, η τμηματοποίησή τους από το υπόλοιπο δίκτυο μπορεί να αποδειχθεί σωτήρια. Προνοητικό είναι, ακόμη, να κρατούνται καλά αρχεία καταγραφής. Με αυτόν τον τρόπο γίνεται πιο εύκολα υλοποιήσιμη η άμεση αντιμετώπιση πιθανών περιστατικών, καθώς και η άρση διαφόρων προληπτικών αντιμέτρων. Μπορεί να μη γίνεται να εξαλειφθεί το ηλεκτρονικό ψάρεμα και η ανεπιθύμητη, ε- νοχλητική αλληλογραφία, μπορεί όμως να μειωθεί σημαντικά ή τουλάχιστον να μην επηρεάζει την ασφάλεια μιας επιχείρησης. Για να επιτευχθεί αυτό, συνίσταται ο έλεγχος της εισερχόμενης αλληλογραφίας σε ευρύτερο επίπεδο. Όχι μόνο ο αποστολέας, δηλαδή, αλλά και τα συνημμένα αρχεία, οι σύνδεσμοι και γενικότερα σε βάθος ανάλυση του τι πρόκειται να εισαχθεί στο σύστημα. Αποτελεσματικό είναι, επίσης, να καταγράφεται οποιαδήποτε εξερχόμενη κίνηση προς ύποπτη κατεύθυνση και να φιλτράρεται, καθώς και οι DNS συνδέσεις που υπάρχουν στο πλαίσιο της επιχείρησης. Θα πρέπει, φυσικά, να οριστεί σε ποιες περιπτώσεις μία κίνηση θεωρείται ομαλή, ώστε να αναγνωρίζεται η μη ομαλή. Άρνηση εξυπηρέτησης (DoS - Denial of service) Οι επιθέσεις DoS είναι ικανές να προκαλέσουν χάος, καθώς θέτουν σε κίνδυνο τη διαθεσιμότητα των δικτύων και των συστημάτων που τη δέχονται. Έχοντας αυτό κατά νου, το βασικότερο βήμα που συνίσταται να εφαρμόζεται είναι οι διακομιστές να ελέγχονται και να επιδιορθώνονται συχνά, να είναι σε λειτουργία μόνο όταν χρειάζεται και να επιτρέπεται η πρόσβαση μόνο στους δικαιοδοτημένους. Θα πρέπει, ακόμη, να διαχωριστούν οι βασικές IP διευθύνσεις και οι διακομιστές από το χώρο που βρίσκονται τα υπόλοιπα, εφόσον δεν έχουν κάποιο λόγο να βρίσκονται εκεί. Με αυτόν τον τρόπο, σε περίπτωση επίθεσης, δε θα διακινδυνέψουν οι πρωτεύοντες διακομιστές και οι παροχές τους. -26-

37 Μία επιπλέον πρόταση είναι να χρησιμοποιείται κάποια υπηρεσία Anti-DDoS (Distributed DoS) από τις εταιρείες ή τους οργανισμούς. Για μεγαλύτερη ασφάλεια, θα ήταν προτιμότερο αν ελεγχόταν κατά πόσο θα αντιδράσουν άμεσα οι βασικές επιχειρηματικές τους λειτουργίες, σε περίπτωση πραγματικής επίθεσης. Θα πρέπει επίσης να επιβεβαιωθεί, από τον πάροχο της συγκεκριμένης υπηρεσίας, η ικανότητά της να διαχωρίζει την φυσιολογική από την ύποπτη κίνηση στο δίκτυο. Καθώς οι επιτιθέμενοι δεν έχουν αστείρευτους ενεργειακούς πόρους, η χειρότερη επίθεση θα ήταν, κατά πάσα πιθανότητα, λίγο πάνω από αυτό που μπορεί να αντέξει μία επιχείρηση στη θέση του θύματος. Παρόλα αυτά, στην περίπτωση που δε λειτουργήσει τίποτα από τις προαναφερθείσες προτάσεις, τότε καλό θα ήταν οι αρμόδιοι υπάλληλοι να έχουν προνοήσει ήδη πώς θα αντιδράσουν ή ποιον θα καλέσουν να τους βοηθήσει ανάλογα με το τι πρόβλημα έχει παρουσιαστεί τη δεδομένη στιγμή. [8] 3.2 Χρήσιμο Λογισμικό Ακολούθως παραθέτονται κάποια από πιο γνωστά λογισμικά, τα οποία μπορούν να φανούν ιδιαίτερα χρήσιμα στις διάφορες περιπτώσεις απώλειας δεδομένων ή για την προστασία τους. Ανάκτηση δεδομένων Μία πολύ καλή πρόταση είναι η χρήση live δίσκου, CD, DVD ή USB, για τις περιστάσεις όπου είναι εφικτό να γίνει η διαδικασία της ανάκτησης σε κάποιο εν λειτουργία σύστημα, καθώς είναι πλήρως εκκινήσιμα (bootable). Λογισμικά φτιαγμένα για τη συγκεκριμένη εργασία, είναι λειτουργικά όπως το BackTrack και η πιο εξελιγμένη του μορφή, το Kali, τα οποία μαζί με το Data Rescue PC3, το Knoppix, το Trinity Rescue Kit και το SystemRescueCD ανήκουν στην κατηγορία του Linux. Υπάρχουν επίσης τα BartPE, Boot Repair Disk, Ultimate Boot CD for Windows και WinPE, τα οποία ανήκουν στα Windows, τα Data Rescue 3 και Stellar Phoenix Mac data recovery του MAC OS, αλλά και το SpinRite, που είναι βασισμένο σε FreeDOS. Συχνά όταν αντιγράφουμε κάποια δεδομένα, μπορεί να δημιουργηθούν κενά πληροφορίας στο αντίγραφο ή και στην πηγή κατά τη διάρκεια της χρήσης. Σε αυτές τις περιπτώσεις υπάρχει είδος προγραμμάτων, ονόματι consistency checkers, το οποίο ε- ντοπίζει αυτά τα κενά ανάμεσα στην αρχική πληροφορία και το αντίγραφο και τα διορθώνει. Τη συγκεκριμένη εργασία πράττουν το gparted, το οποίο λειτουργεί σε περιβάλλον Linux και το fsck, που είναι σχεδιασμένο γενικότερα για συστήματα Unix. Χρησι- -27-

38 μοποιούνται, ακόμη, τα Disk Utility και Disk First Aid, τα οποία είναι κατάλληλα για τα MAC OS X και 9, αντίστοιχα, καθώς και το CHKDSK, που έχει δημιουργηθεί για λειτουργικά συστήματα DOS και Windows. Πολύ χρήσιμα είναι, επιπλέον, τα προγράμματα εκείνα τα οποία ανακτούν φακέλους. Για παράδειγμα, το CDRoller και το dvdisaster χρησιμοποιούνται για οπτικούς δίσκους, ενώ το IsoBuster περεταίρω για USB sticks, Flash drives και σκληρούς δίσκους. Για MAC OS χρησιμοποιούνται τα Disk Drill Basic και FileSalvage. Για Windows τα Data Recovery Wizard, Drive Vaccine, GetDataBack, TotalRecovery και TuneUp Utilities. Το Filerecovery λειτουργεί και στα δύο, ενώ τα PhotoRec, Recuva και TestDisk σε ακόμα περισσότερα. Η εγκληματολογική ανάλυση δεδομένων (forensics) είναι πλέον καθημερινότητα για κάποιους οργανισμούς, οπότε δε θα έπρεπε να παραληφθούν και τα αντίστοιχα εργαλεία, καθότι σημαντικά. Τέτοια είναι τα EnCase, Foremost, Forensic Toolkit, Open Computer Forensics Architecture, The Coroner's Toolkit και The Sleuth Kit. Χρησιμοποιούνται, επίσης, κατά κόρον και εδώ το BackTrack και το Kali. [11] Προστασία δεδομένων Η καλύτερη θεραπεία, όμως, είναι τελικά η πρόληψη. Για να μη βρίσκεται κανείς συνεχώς στην ανάγκη των παραπάνω εργαλείων, ενδείκνυται η χρήση ειδικευμένου λογισμικού, το οποίο δυσκολεύει ικανοποιητικά αποτελεσματικά τον εκάστοτε επιτιθέμενο να αποκτήσει πρόσβαση στα δεδομένα του εν δυνάμει θύματος. Τα πιο εύκολα προσβάσιμα και τα πιο εύχρηστα προγράμματα που μπορούν να συσταθούν είναι τα Anti- Virus, τα οποία προστατεύουν από κακόβουλο, κατασκοπευτικό λογισμικό, rootkit, spam mail, ηλεκτρονικό ψάρεμα, τη διαδικασία ηλεκτρονικών πληρωμών και διάφορα άλλα. Ορισμένα από τα πιο πολυχρησιμοποιούμενα προγράμματα τέτοιου είναι τα Avast, Microsoft Security Essentials, Kaspersky, AVG, Avira, Malwarebytes, ComboFix, Clamwin, Panda Cloud και Comodo Firewall & Antivirus. Προτείνεται, επιπλέον, να χρησιμοποιούνται προγράμματα κρυπτογράφησης είτε για τους φακέλους είτε για ολόκληρες συσκευές. Πολλά από αυτά τα προγράμματα μπορούν να βρεθούν δωρεάν και με εξαιρετική ευχρηστία να αυξήσουν την ασφάλεια της καταχωρημένης πληροφορίας. Κάποια από τα πιο γνωστά είναι τα 7-Zip, AxCrypt, Cryptext, dscrypt, Encrypt4al, Instant LOCK, Remora USB File Guard, Rohos Mini Drive, SafeHouse Explorer, Sofonica Folder Soldier και Sophos Free Encryption, σχεδιασμένα για περιβάλλον Windows. Υπάρχει, ακόμη, το Disk Utility για MAC OS, το -28-

39 FreeOTFE/FreeOTFE Explorer για Windows και Linux, ενώ το TrueCrypt λειτουργεί και στα τρία προαναφερθέντα λειτουργικά συστήματα. Η πιο επαγγελματική προσέγγιση δεν παύουν να είναι τα προγράμματα προστασίας απώλειας δεδομένων. Ανακαλύπτουν πιθανές διαρροές πληροφορίας, αλλά και προστατεύουν από τέτοιου είδους περιστατικά, αναλόγως με το τι θα τους ζητήσει ο χρήστης. Μερικά από τα πιο δημοφιλή είναι τα Trend Micro LeakProof 5.0, Symantec Data Loss Prevention, Websense Data Security Suite, RSA Data Loss Prevention Suite, BorderWare Data Loss Prevention, McAfee Total Protection, CA DLP και Cisco IronPort S-Series Web security appliance. Τα προγράμματα DLP αφενός μεν είναι αποτελεσματικά, αφετέρου δε κοστίζουν. Τη λύση εδώ έρχεται να δώσει το OpenDLP, το οποίο είναι το πρώτο λογισμικό DLP ανοιχτού και ελεύθερου κώδικα, το οποίο χρησιμοποιεί agent. -29-

40

41 4 Το OpenDLP Το 2009 ο Andrew Gavin ξεκίνησε να αναπτύσσει ένα ελεύθερο και ανοιχτό λογισμικό προστασίας απώλειας δεδομένων, το OpenDLP. Το κίνητρο της δημιουργίας του ήταν ότι όλα τα αντίστοιχα προγράμματα που υπήρχαν μέχρι τότε ήταν κλειστού κώδικα. Τα μόνα ελεύθερα λογισμικά που υπήρχαν, όπως το Cornell Spider, το FindSSN και το grep (Global Regular Expression Print), μπορούσαν να παραβιαστούν μέσω δικτυακών κοινοποιήσεων (network shares), καθώς η σάρωση που πραγματοποιούσαν ήταν χειροκίνητη, χωρίς agent. Επιπλέον, δεν ήταν πρακτικά για μεγαλύτερες υλοποιήσεις, για παράδειγμα σε μία ολόκληρη επιχείρηση, παρά μόνο για μία θέση εργασίας και αυτό θα ήταν μία πολύ αργή διαδικασία. Το OpenDLP είναι ένα εργαλείο ανίχνευσης δεδομένων, το οποίο μπορεί να λειτουργήσει με ή χωρίς agent και αποδεικνύεται να είναι πολύ χρήσιμο σε προσωπικό συμμόρφωσης, διαχειριστές δικτύων και συστημάτων και penetration testers. Αποτελείται από έναν agent, σχεδιασμένο για περιβάλλον Windows και μία διαδικτυακή εφαρμογή, βασισμένη σε LAMP (Linux, Apache, MySQL, PHP/Perl/Python). Ακολουθεί, επίσης, την άδεια χρήσης GPLv3 (GNU General Public License, version 3) και ό,τι αυτή προβλέπει. Εκτός από αυτόνομα, μπορεί να γίνει εγκατάσταση του προγράμματος και σε εικονική μηχανή (VM - Virtual Machine). Αφού ολοκληρωθεί αυτή η διαδικασία και πραγματοποιηθούν οι απαραίτητες αλλαγές στις ρυθμίσεις του φυλλομετρητή Mozilla Firefox, ο χρήστης αποκτά πρόσβαση σε ένα διακομιστή χωρίς γραφικά, μέσω του οποίου βλέπει ποια διεύθυνση IP θα χρησιμοποιήσει για να συνδεθεί στη διαδικτυακή εφαρμογή. Σημειώνεται ότι ο διακομιστής αυτός πρέπει να βρίσκεται σε λειτουργία καθ όλη τη διάρκεια της χρήσης της εφαρμογής αυτής, καθώς στηρίζεται πάνω του. 4.1 Σάρωση με Agent Όταν ο χρήστης αποκτήσει πρόσβαση στην εφαρμογή, θα πρέπει να δημιουργήσει μία επαναχρησιμοποιούμενη πολιτική, βάσει της οποίας καθοδηγεί το πώς θα κινηθεί ο agent. Για παράδειγμα, μπορεί να επιλέξει να του επιστραφούν μόνο αρχεία που περιέ- -31-

42 χουν αριθμούς πιστωτικών καρτών ή συγκεκριμένες μορφές φωτογραφικού υλικού, όπως.png, κάθε πότε θα του εμφανίζει αποτελέσματα, πόσο επί τοις εκατό της μνήμης θα εκμεταλλευτεί ο agent, μέχρι και να χρησιμοποιήσει την τεχνική pass-the-hash, αν δε γνωρίζει τον κωδικό εισαγωγής στο σύστημα του δέκτη. Αν δεν τον καλύπτει η συγκεκριμένη πολιτική σε αυτά που ψάχνει, τότε έχει τη δυνατότητα να δώσει ακόμα πιο σαφείς εντολές, χρησιμοποιώντας κανονικές εκφράσεις. Εν συνεχεία, μπορεί να ξεκινήσει η σάρωση των δεδομένων, η οποία έχει αναπτυχθεί πάνω στο πρωτόκολλο SMB (Server Message Block). Αυτό σημαίνει ότι ανάμεσα σε δύο συσκευές αναπτύσσεται μία σχέση πελάτη-εξυπηρετητή (client-server), η οποία επιτρέπει τη μεταφορά δεδομένων από το ένα σύστημα στο άλλο. Το OpenDLP έχει τη δυνατότητα να χρησιμοποιήσει μέχρι και 1000 agents στο σύνολο ή 30 ταυτόχρονα για να κάνει τη διαδικασία πιο σύντομη. Κατά τη διάρκεια της σάρωσης, δημιουργείται ένας φάκελος στο σημείο που έχει οριστεί από το χρήστη και ξεκινά να εκτελείται μία υπηρεσία σε χαμηλή για τη CPU προτεραιότητα, η οποία καταναλώνει όση μνήμη έχει προκαθοριστεί στην πολιτική που δημιουργήθηκε. Εξαιτίας αυτών, δεν ανιχνεύεται από τα Anti-Virus προγράμματα, ενώ για επιπλέον κάλυψη, ο χρήστης μπορεί να δώσει στην υπηρεσία ένα ανάλογο όνομα και μία περιγραφή, τα οποία ο δέκτης δε θα παρατηρήσει ακόμα κι αν εκκινήσει τη διαχείριση εργασιών. Ο agent έχει δημιουργηθεί εξολοκλήρου στην προγραμματιστική γλώσσα C, χωρίς προϋποθέσεις.net, με αποτέλεσμα να λειτουργεί και σε παλαιότερες εκδόσεις λειτουργικών συστημάτων Windows, όπως η 2000 ή XP. Ξεκινά, να σαρώνει τις λευκές και μαύρες λίστες και να εξετάζει λεπτομερώς τους φακέλους και καταλόγους των τελικών αποτελεσμάτων, σύμφωνα με τις κανονικές εκφράσεις που δόθηκαν στην πολιτική και επιστρέφει τα αποτελέσματα της αναζήτησης σε συχνότητα που επίσης έχει ορίσει ο χρήστης. Αν τα αποτελέσματα είναι αρκετά μεγάλου όγκου, τόσο ώστε να μην περάσει απαρατήρητη η μεταφορά τους, τότε τα χωρίζει σε μικρότερα κομμάτια και τα αποστέλλει σε δόσεις. Αυτή η διαδικασία είναι αμφίδρομα βασισμένη στο πρωτόκολλο SSL (Secure Sockets Layer), το οποίο διασφαλίζει την μεταφορά των δεδομένων. Αυτό σημαίνει ότι ακόμα και αν κάποιος προσπαθήσει να εφαρμόσει την επίθεση man-in-themiddle, δε θα τα καταφέρει. -32-

43 Όταν ολοκληρώσει την εργασία του, ζητά άδεια να απεγκατασταθεί από την εφαρμογή. Σε αυτό το σημείο διαγράφεται αυτόματα και ο κατάλογος που είχε δημιουργηθεί, για να μην αφήνονται ίχνη. Για αυτό το λόγο, είναι πολύ σημαντικό ο χρήστης να μην το εγκαταστήσει σε έναν ήδη υπάρχοντα φάκελο, αλλά να δημιουργήσει ένα νέο, διότι αλλιώς θα διαγραφούν μαζί του και όλα τα περιεχόμενά του. Παραδείγματος χάριν, αν δημιουργηθεί στο φάκελο program files, θα διαγραφεί και ο ίδιος ή αν δημιουργηθεί στο φάκελο C, τότε θα προκαλέσει ακόμα μεγαλύτερη καταστροφή με την ολοκλήρωση της εργασίας του στον υπολογιστή του θύματος. Το σημείο όπου βρίσκεται είναι το μοναδικό το οποίο προδίδει ότι υπάρχει agent στο σύστημα του θύματος. Παρόλα αυτά 99% των χρηστών των Windows δεν το παρατηρούν. Η διαδικτυακή εφαρμογή, από την άλλη πλευρά, δέχεται τα αποτελέσματα της αναζήτησης του agent. Αυτά μπορεί να είναι, η παρούσα κατάστασή του, το πλήθος των αρχείων και των bites που έχει επεξεργαστεί ή ο υπολειπόμενος χρόνος μέχρι την ολοκλήρωση της εργασίας του. Ο χρήστης, μέσω της εφαρμογής, μπορεί να δει το πλήθος των αποτελεσμάτων, τον εκτιμώμενο χρόνο ολοκλήρωσης κάθε σάρωσης, να βρει συγκεκριμένα δεδομένα αναζητώντας τα κατά όνομα ή μέγεθος, ακόμα και να τα μεταφορτώσει ή να τα διαγράψει. Ο agent μπορεί να παύσει, να ξαναρχίσει ή να απεγκατασταθεί οποιαδήποτε στιγμή. Επίσης, αν το σύστημα του θύματος διακόψει τη λειτουργία του προσωρινά, θυμάται σε ποιο σημείο της εργασίας του είχε μείνει και συνεχίζει κανονικά από τη στιγμή που το θύμα συνδεθεί ξανά. Παρόμοια συμπεριφέρεται και στην περίπτωση που ο χρήστης του OpenDLP, κατά τη διάρκεια της λειτουργίας του, κλείσει την εφαρμογή. Αυτό είναι ασφαλές να το πράξει μόνο όταν δει τη σημείωση 0 systems remain in queue, διότι αν εκκρεμούν συστήματα για ανάπτυξη, μπορεί να διακοπή η διαδικασία. Στην περίπτωση που αφήσει τη σελίδα με ασφάλεια, ανεξάρτητα από την επαφή του με το διακομιστή, ο agent συνεχίζει να προσπαθεί κάθε τόσο να στείλει τα αποτελέσματα στην εφαρμογή. Παράλληλα συνεχίζει να ψάχνει για τα δεδομένα που του έχει ορίσει ο χρήστης. Όταν ολοκληρώσει την εργασία του, τότε θα συνεχίσει κάθε τόσο να προσπαθεί να επικοινωνήσει με την εφαρμογή, μέχρι εκείνη να συνδεθεί ξανά. Και όταν συμβεί αυτό, θα ληφθούν όλα τα δεδομένα, που έχει συλλέξει, μαζικά. -33-

44 4.2 Σάρωση χωρίς Agent Η διαδικασία της χρήσης του OpenDLP χωρίς agent, όσον αφορά την διαδικτυακή εφαρμογή, είναι παρόμοια εκείνης με τον agent. Δηλαδή, χρειάζεται να δημιουργηθεί πρώτα μία επαναχρησιμοποιούμενη πολιτική, η οποία καθορίζει τη σειρά ενεργειών που θα εκτελεστούν. Για την περίπτωση που το λειτουργικό σύστημα του θύματος, όπου θα εφαρμοστεί αυτή η πολιτική, είναι τύπου Unix, δε χρειάζονται δικαιώματα διαχειριστή. Παρότι αν ήταν κατοχυρωμένα θα ήταν μία επιπλέον βοήθεια, ώστε να διαβαστούν όλα τα αρχεία των αποτελεσμάτων. Αντίθετα, η πολιτική που δημιουργείται για τη σάρωση λειτουργικού συστήματος Windows, είναι ολοκληρωτικά ανοιχτή, χωρίς δηλαδή να επιθυμούνται καθόλου δικαιώματα διαχειριστή. Επίσης χρειάζεται προσοχή όταν ορίζεται ποιοι φάκελοι θα σαρωθούν, καθώς μπορούν να παρερμηνευθούν με τα Administrative Shares των Windows. Μία ακόμη διαφορά μεταξύ των δύο τύπων λειτουργικών συστημάτων, είναι όταν συμπληρώνεται ποια συστήματα θα σαρωθούν. Για παράδειγμα, όταν πρόκειται για Unix αρκεί μόνο η διεύθυνση IP του θύματος, δηλαδή η μορφή Ενώ όταν πρόκειται για Windows, απαιτείται ολόκληρο το path, δηλαδή η μορφή \\ \\OpenDLP. Επιπλέον, αν θελήσει ο χρήστης να κατευθύνει ακόμα πιο συγκεκριμένα την τοποθεσία των αποτελεσμάτων σε λευκές ή μαύρες λίστες, τότε το μόνο που χρειάζεται είναι απλά να το συμπληρώσει στο path, όπως \\ \\OpenDLP\BlackListName. Επιπλέον, το μέγιστο της μνήμης, που θα ορίσει ο χρήστης σε οποιοδήποτε από τους δύο αυτούς τύπους πολιτικών, αφορά το δικό του σύστημα και όχι του θύματος. Αυτό συμβαίνει, διότι ο τρόπος με τον οποίο λειτουργεί η σάρωση χωρίς agent απαιτεί πρώτα τη μεταφόρτωση όλων των αρχείων στο σύστημα του χρήστη. Ισχύει και εδώ ότι, αν το μέγεθος των δεδομένων που πρόκειται να μεταφερθούν χρειάζεται περισσότερη μνήμη από εκείνη που έχει οριστεί, τότε τα δεδομένα χωρίζονται σε κομμάτια και μεταφέρονται σταδιακά. Αντί για agent, όλα τα παραπάνω εκτελούνται χάρη σε ένα σενάριο φλοιού (shell script), γραμμένο στην αντικειμενοστραφή προγραμματιστική γλώσσα Perl. Επίσης, ο χρήστης αν θέλει να εστιάσει σε πιο συγκεκριμένη πληροφορία από εκείνη που του επιτρέπει η πολιτική που δημιούργησε, έχει την επιλογή να συντάξει τις δικές του κανονικές εκφράσεις, συμβατές σε Perl (PCRE - Perl Compatible Regular Expressions). -34-

45 Με αυτή τη μέθοδο, θεωρητικά, το πλήθος των συστημάτων που μπορούν να σαρωθούν είναι απεριόριστο. Πρακτικά, όμως, εξαιτίας του ότι το σύστημα του χρήστη χρειάζεται αρκετούς πόρους για να φέρει σε πέρας αυτή την εργασία, είναι σχετικά χρονοβόρα και μεταφέρεται μεγαλύτερος όγκος δεδομένων στο ίδιο δίκτυο, μπορεί τελικά να εφαρμοστεί ταυτόχρονα σε περίπου 23 συστήματα. Όταν ο χρήστης πρόκειται να χρησιμοποιήσει την εφαρμογή σε λειτουργικό σύστημα Unix, τότε η διαδικασία βασίζεται στο πρωτόκολλο SSH (Secure Shell) και μάλιστα χρησιμοποιώντας το SSHFS (SSH Filesystem). Έτσι, ακόμα και αν το δίκτυο το οποίο χρησιμοποιείται είναι μη ασφαλές, δημιουργείται ένα κανάλι επικοινωνίας ανάμεσα στα δύο συστήματα, το οποίο κρυπτογραφεί την πληροφορία που διέρχεται, παρέχοντας την ασφαλή πρόσβαση, μεταφορά και λειτουργικότητα της διαχείρισής της. Επίσης, η διαδικασίες που χρησιμοποιούν τα Windows και Windows shares βασίζονται στο πρωτόκολλο SMB, όπως και στην περίπτωση του agent. Η σάρωση χωρίς agent του OpenDLP δίνει επιπλέον την δυνατότητα στον χρήστη να κάνει σάρωση για δεδομένα σε διακομιστές βάσεων δεδομένων, χρησιμοποιώντας τεχνική όπως το SQL Injection, έτσι ώστε να μπορέσει να εκτελέσει εντολές SQL (Queries) σε απομακρυσμένα συστήματα. Η γενικότερη λειτουργία του Exploit αυτού, βασίζεται σε φόρμες εισαγωγής δεδομένων που δεν φιλτράρουν την εισαγωγή των στοιχείων, καθιστώντας δυνατή την εκτέλεση κώδικα είτε μορφής SQL είτε JavaScript, όταν αναφερόμαστε σε εφαρμογές διαδικτύου. Οι τύποι βάσεων δεδομένων που υποστηρίζονται είναι η MySQL και η Microsoft SQL Server, με μελλοντικά σχέδια να περιληφθούν και οι OracleDB και PostgreSQL. Για τον Microsoft SQL Server, ο χρήστης θα πρέπει να έχει πρόσβαση στο διακομιστή, είτε με δικαιώματα διαχειριστή στην βάση, είτε με λογαριασμό χρήστη Windows με πρόσβαση στο Domain όπου ανήκει ο διακομιστής. Η σάρωση επιστρέφει αποτελέσματα όπως ονόματα πινάκων, γραμμών/σειρών αλλά και των δεδομένων που αυτοί περιλαμβάνουν. 4.3 Σύγκριση Ο δημιουργός του OpenDLP, κύριος Gavin, έκανε κάποιες δοκιμές για να συγκρίνει την αποτελεσματικότητα βάσει ταχύτητας στις δύο προαναφερθείσες μεθόδους. Χρησιμοποίησε ένα σύστημα με επεξεργαστή Core2duo P8600 (2.4 GHz), RAM 4 GB, σκληρό δίσκο 250 GB και 7200 RPM, καθώς και δίκτυο ταχύτητας 100 mbit. -35-

46 Αρχικά, επιχείρησε να εκτελέσει 1 κανονική έκφραση σε ένα σύστημα. Όταν χρησιμοποίησε agent, η διαδικασία διήρκησε 9 λεπτά και 7 δευτερόλεπτα. Για την ίδια α- κριβώς διαδικασία, χωρίς όμως τη χρήση agent, χρειάστηκαν 21 λεπτά και 54 δευτερόλεπτα, τα 17 περίπου λεπτά εξ αυτών καταναλώθηκαν κατά τη μεταφόρτωση και ανάγνωση των αρχείων. Στη συνέχεια, εκτέλεσε 13 κανονικές εκφράσεις σε ένα σύστημα για να σαρώσουν 2.05 GB. Χρησιμοποιώντας agent χρειάστηκε 1 ώρα, 7 λεπτά και 39 δευτερόλεπτα, ενώ χωρίς τον agent η σάρωση διήρκησε 1 ώρα, 20 λεπτά και 26 δευτερόλεπτα, εκ της ο- ποίας τα 17 περίπου λεπτά καταναλώθηκαν ξανά κατά τη μεταφόρτωση και ανάγνωση των αρχείων. Από την παραπάνω δοκιμή προέκυψε ότι όταν πρόκειται μόνο για ένα σύστημα, τότε εκτελώντας 13 κανονικές εκφράσεις, η σάρωση χωρίς agent είναι 19% πιο αργή από εκείνη με agent. Ενώ όταν εκτελείται μόνο μία κανονική έκφραση, η σάρωση χωρίς agent καθυστερεί 130% περισσότερο από το αν χρησιμοποιούταν agent. Τα πράγματα, όπως είναι αναμενόμενο, γίνονται πιο περίπλοκα όταν εμπλέκονται περισσότεροι στόχοι. Η ίδια δοκιμή, με τις 13 κανονικές εκφράσεις, όταν εφαρμόστηκε από 1 έως 25 συστήματα στη σάρωση με χρήση του agent χρειάστηκε επίσης περίπου 1 ώρα. Αντίθετα, για τη σάρωση χωρίς agent 25 συστημάτων, σε μονοπύρηνο επεξεργαστικό σύστημα του χρήστη, αφιερώθηκε πάνω από 1 ολόκληρη μέρα. Τέλος, αν δύο αυτές μέθοδοι σάρωσης των δεδομένων δοκιμαστούν σε ακόμα περισσότερα συστήματα, δηλαδή από 100 έως 2000, τότε η διαφορά στην ταχύτητα μεγαλώνει περισσότερο. Πιο συγκεκριμένα, αν δε χρησιμοποιηθεί agent θα χρειαστούν περίπου 3 μήνες για να ολοκληρωθεί η διαδικασία, ενώ με τη χρήση agent ολοκληρώνεται σταθερά στην περίπου 1 ώρα. [12][13] -36-

47 5 Χρήση του OpenDLP για το LibreOffice Σε αυτό το κεφάλαιο αναλύεται το LibreOffice και η θέση που έχει σήμερα ανάμεσα στα προγράμματα του είδους του. Δεικνύεται, επιπλέον, πώς χρησιμοποιήθηκε το OpenDLP και ποιες λύσεις υπάρχουν, βάσει αυτού, για την προστασία απώλειας εγγράφων τύπου LibreOffice στις επιχειρήσεις, αλλά και στους ιδιώτες. 5.1 Το LibreOffice Το 2011 διανεμήθηκε επισήμως η πρώτη τελική έκδοση του LibreOffice από τη Document Foundation, μία μη κερδοσκοπική ομάδα που δημιουργήθηκε το 2010 για τη συνέχιση και βελτίωση του ως τότε OpenOffice. Το LibreOffice είναι μία σουίτα γραφείου, η οποία διανέμεται ελεύθερα και δωρεάν και είναι πολυχρηστική. Πρόκειται για ένα έργο ανοιχτού κώδικα, βασισμένο στη δημόσια άδεια χρήσης GNU LGPL v3 (Lesser General Public License version 3) και προγραμματισμένο στις γλώσσες C++ και Java. Αυτό σημαίνει πως ανά πάσα στιγμή, εκτός από απλή χρήση, όποιος θέλει μπορεί να επέμβει στον πηγαίο κώδικα και να τροποποιήσει τις λειτουργίες του, φέρνοντάς το στα μέτρα των αναγκών της δικής του εργασίας ή και συμβάλλοντας με νέες ιδέες, προωθώντας το στην κοινότητα. Η κοινότητα αποτελείται από πάρα πολλά μέλη παγκοσμίως, τα οποία συμβάλλουν στην καθημερινή εξέλιξη και δοκιμή σφαλμάτων της συγκεκριμένης σουίτας. Το γεγονός αυτό την κάνει δημοφιλή σε περισσότερες από 30 γλώσσες, έναν αριθμό συνεχώς αυξανόμενο. Διατίθεται, επιπλέον, για πλήθος λειτουργικών συστημάτων, συμπεριλαμβανομένων των διανομών GNU/Linux, Microsoft και Mac OS X. Ακόμη, κυκλοφορεί σε φορητές εκδόσεις, ώστε να μπορεί να ανοίξει έγγραφα σε συστήματα που δεν έχουν καμία άλλη σουίτα ή απευθείας από μία μονάδα USB flash. Το LibreOffice παρέχει ένα οικείο και πολύ φιλικό προς το χρήστη περιβάλλον εργασίας. Είναι, επίσης, συμβατό με τις πιο γνωστές μορφές αρχείων, όπως.odt,.ott,.fodt,.uot,.docx,.xml,.doc,.dot.html,.rtf,.ods,.ots,.fods,.uos,.xlsx,.xls,.xlt,.dbf,.dif,.slk,.csv, κ.ά.. Αυτό εξυπηρετεί στο να διαβάζονται και να επεξεργάζονται αρχεία, -37-

48 ανεξαρτήτως σε ποια σουίτα δημιουργήθηκαν. Για να διασφαλιστεί, επίσης, απολύτως η ανάγνωση των αρχείων που δημιουργήθηκαν με αυτή τη σουίτα από χρήστες άλλων προγραμμάτων, διατίθεται προρυθμισμένη με την επιλογή δημιουργίας αρχείων τύπου PDF. Η συγκεκριμένη σουίτα γραφείου υποστηρίζει διάφορες εφαρμογές. Τέτοιες είναι η Writer, με την οποία μπορεί να δημιουργηθεί ή επεξεργαστεί οποιοδήποτε κείμενο, α- κόμα και να εκτελέσει μακροεντολές της προγραμματιστικής γλώσσας Python ή η Calc, η οποία κάνει υπολογισμούς και αναλύει πληροφορίες σε υπολογιστικά φύλλα, δεχόμενο ακόμη δεδομένων εξωτερικών βάσεων δεδομένων. Υπάρχει, επιπλέον, το πρόγραμμα Impress, που δημιουργεί και επεξεργάζεται διαφάνειες και παρουσιάσεις, καθώς και το Draw, το οποίο υποστηρίζει τη δημιουργία και επεξεργασία σχεδίων, λογοτύπων και διαγραμμάτων ροής, ακόμα και τριών διαστάσεων ή και ειδικών εφέ. Για τη διαχείριση πληροφοριών και των πιο διαδεδομένων βάσεων δεδομένων χρησιμεύει το Base, ενώ το Math εστιάζει στην ανάπτυξη και επεξεργασία εξισώσεων και επιστημονικών τύπων. Όπως είναι αναμενόμενο, όλα τα παραπάνω χαρακτηριστικά καθιστούν το LibreOffice ένα ιδιαίτερα χρήσιμο και συμφέρον εργαλείο τόσο για τους ιδιώτες όσο και τις επιχειρήσεις. Επιπρόσθετα, είναι ένα σταθερό, λειτουργικό και έμπιστο προϊόν, καθώς η αρχή του μετρά 20 χρόνια και έχει προσεχθεί εκτενώς από ειδικούς σε θέματα ασφαλείας. Δεδομένης της γενικής αλήθειας, παρόλα αυτά, ότι τίποτα δεν είναι ολοκληρωτικά ασφαλές, στο υπόλοιπο της παρούσας εργασίας παρουσιάζεται μία προσπάθεια προστασίας της απώλειας τέτοιων τύπων αρχείων, με τη βοήθεια του OpenDLP. [14] 5.2 Χρησιμοποιώντας το OpenDLP Αρχικά δημιουργήθηκε ο διακομιστής του OpenDLP, περιβάλλοντος Unix, στο Oracle VM Virtual Box με χρήση εντολών φλοιού Bash. Έτσι εμφανίστηκε ένα περιβάλλον μορφής τερματικού, όπου ζητούνταν το όνομα χρήστη και ο κωδικός πρόσβασης. Η προεπιλεγμένη κωδική λέξη και για τα δύο είναι opendlp, αλλά προτείνεται να αλλαχθεί για λόγους ασφαλείας, κυρίως αν το πρόγραμμα δεν πρόκειται να χρησιμοποιηθεί δοκιμαστικά. -38-

49 Στη συνέχεια, πληκτρολογήθηκε η εντολή ip addr, η οποία επιστρέφει τη διεύθυνση IP του διακομιστή, η οποία χρειάζεται για να λειτουργήσει η διαδικτυακή εφαρμογή. -39-

50 Αφού πραγματοποιήθηκαν οι απαραίτητες αλλαγές στις ρυθμίσεις του φυλλομετρητή Mozilla Firefox, ώστε να γίνει δυνατή η πρόσβαση στη διαδικτυακή εφαρμογή, πληκτρολογήθηκε στη γραμμή διευθύνσεων όπου η διεύθυνση IP που του δόθηκε από την παραπάνω εντολή. Στην προκειμένη, δόθηκε η και εμφανίστηκε το ακόλουθο παράθυρο πιστοποιητικού ασφάλειας. -40-

51 Αμέσως μετά εμφανίστηκε ένα άλλο παράθυρο, όπου ζητούνται το όνομα χρήστη και ο κωδικός πρόσβασης. Από προεπιλογή είναι dlpuser και OpenDLP, αντίστοιχα, αλλά για τους ίδιους λόγους που προαναφέρθηκαν συνίσταται επίσης να αλλαχθούν. Έτσι, αποκτήθηκε η πρόσβαση στην εφαρμογή. -41-

52 Είχε ήδη δημιουργηθεί ένα εικονικό δίκτυο στο Virtual Box και με τη βοήθεια αυτού, εν συνεχεία, δοκιμάστηκε να γίνει προσπάθεια εισβολής του agent σε ένα λειτουργικό σύστημα Windows XP Professional x86. Αυτό που χρειάστηκε ήταν να δημιουργηθεί ένα επαναχρησιμοποιούμενο προφίλ πολιτικής, στο οποίο δίνονταν οδηγίες στον agent σχετικά με το πώς να κινηθεί. Πιο συγκεκριμένα, δόθηκε αρχικά στο Profile Scan ένα όνομα και ο τύπος της σάρωσης που επιλέχθηκε να γίνει, δηλαδή στην προκειμένη με agent. Σημειώθηκε, επίσης, το όνομα και ο κωδικός του λειτουργικού συστήματος του θύματος, το όνομα του Workgroup στο οποίο ανήκει το σύστημα του θύματος, το path όπου θα γίνει εγκατάσταση του agent και το path όπου επιθυμείται να γίνει η σάρωση. Ακόμη, συμπληρώθηκε το ποσοστό της μνήμης που θα δεσμεύσει ο agent κατά τη διάρκεια της σάρωσης, οι τύποι των αρχείων οι οποίοι θα αναζητηθούν, το URL ό- που θα επιστρέφονται τα αποτελέσματα, ο χρόνος ανάμεσα στις προσπάθειες επικοινωνίας του agent με το διακομιστή και η περιγραφή της υπηρεσίας που θα εκτελούνταν. Τέλος αποθηκεύτηκε το προφίλ. Το OpenDLP απευθύνεται κυρίως σε επαγγελματίες, οι οποίοι ενδιαφέρονται να προστατέψουν την απώλεια δεδομένων τόσο από εσωτερικούς όσο και από εξωτερικούς της εταιρείας επιτήδειους. Στην περίπτωση των εσωτερικών κινδύνων είναι εύκολο για εκείνους να γνωρίζουν τα ονόματα χρηστών και τους κωδικούς πρόσβασης των συστημάτων που πρόκειται να ελέγξουν. Αλλά ακόμα και αν πρόκειται για κάποιον ά- γνωστο ή αλλαγμένο κωδικό, μπορούν να συνεχίσουν τη συμπλήρωση του προφίλ με τη βοήθεια ενός software patch, συμπληρώνοντας μόνο το SMBHash στο αντίστοιχο πεδίο. -42-

53 Στο συγκεκριμένο παράδειγμα έγινε μία απλή δοκιμή ενός αρχείου τύπου.txt, το οποίο περιείχε έναν τυχαίο αριθμό πιστωτικής κάρτας, για να επαληθευτεί αν θα λειτουργήσει η σάρωση, πριν δοκιμαστεί σε έγγραφα του LibreOffice. Οπότε, δημιουργήθηκε το εν λόγω αρχείο, αποθηκεύτηκε στην επιφάνεια εργασίας και καταργήθηκε προσωρινά το τείχος προστασίας. Ύστερα, δημιουργήθηκε το προφίλ της νέας σάρωσης, το όνομά της, το όνομα του προφίλ που θα χρησιμοποιούνταν και η διεύθυνση IP του θύματος. Αυτό που τελικά συνέβη όταν έγινε εκκίνηση της σάρωσης ήταν, αρχικά, να εμφανιστεί ένα προειδοποιητικό παράθυρο ανίχνευσης κακόβουλης δραστηριότητας. -43-

54 Αυτό, βάσει των χαρακτηριστικών λειτουργίας του agent, δεν ήταν φυσιολογικό να συμβεί, καθώς επίσης το τείχος προστασίας ήταν απενεργοποιημένο. Επομένως έπρεπε να επιβεβαιωθεί αν είχε δημιουργηθεί ο υποφάκελος του agent στο φάκελο, ο οποίος είχε επιλεχθεί και μέχρις αυτό το σημείο, όπως αναμενόταν, είχε πράγματι συμβεί. -44-

55 Στη συνέχεια έπρεπε να ελεγχθεί αν εκτελείται η υπηρεσία του OpenDLP με την περιγραφή που της είχε δοθεί. Για κάποιο λόγο η υπηρεσία αυτή δεν εκτελέστηκε. Ε- -45-

56 λέγχθηκε επίσης και η εφαρμογή, για να επιβεβαιωθεί η επιστροφή τυχόντων αποτελεσμάτων, αλλά δεν εντοπίστηκαν. -46-

57 Τέλος, απεγκαταστάθηκε ο agent από σύστημα του θύματος. -47-

58 5.3 Μελλοντικές Επεκτάσεις Κατά τη διάρκεια χρήσης του OpenDLP έγιναν πολλές δοκιμές, ώστε να βρεθεί τι ευθύνεται για τη μερικώς επιτυχημένη λειτουργία του παραπάνω παραδείγματος. Ορισμένα από αυτά που παρατηρήθηκαν είναι ότι χρειαζόταν να είναι απενεργοποιημένο το τείχος προστασίας και ο λογαριασμός του χρήστη των Windows έπρεπε να χρησιμοποιεί κωδικό πρόσβασης στο λογαριασμό του. Επίσης, το όνομα του Workgroup στο οποίο ανήκει οφείλει να μην περιέχει κενά ανάμεσα στους χαρακτήρες. Είχε γίνει, ακόμα, δοκιμή και σε λειτουργικό σύστημα Windows 7, χωρίς να παρατηρείται εγκατά- -48-