Διπλωματική Εργασία του φοιτητή του Τμήματος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών της Πολυτεχνικής Σχολής του Πανεπιστημίου Πατρών

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΑΤΡΩΝ ΤΜΗΜΑ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ ΤΟΜΕΑΣ: ΗΛΕΚΤΡΟΝΙΚΗΣ ΚΑΙ ΥΠΟΛΟΓΙΣΤΩΝ ΕΡΓΑΣΤΗΡΙΟ: ΣΥΣΤΗΜΑΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ Διπλωματική Εργασία του φοιτητή του Τμήματος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών της Πολυτεχνικής Σχολής του Πανεπιστημίου Πατρών ΣΕΡΕΤΗ ΔΗΜΗΤΡΙΟΥ του Ιωάννη Αριθμός Μητρώου: 5443 Θέμα «Ανάλυση μεθόδων και ανάπτυξη εργαλείου για αυτοματοποίηση διαδικασιών ανάλυσης αποδεικτικών στοιχείων υπολογιστών» Επιβλέπων Σερπάνος Δημήτριος Αριθμός Διπλωματικής Εργασίας: Πάτρα, Οκτώβριος 2010

2 Computer Forensics Σερέτης Δημήτριος 2

3 ΠΙΣΤΟΠΟΙΗΣΗ Πιστοποιείται ότι η Διπλωματική Εργασία με θέμα «Ανάλυση μεθόδων και ανάπτυξη εργαλείου για αυτοματοποίηση διαδικασιών ανάλυσης αποδεικτικών στοιχείων υπολογιστών» Του φοιτητή του Τμήματος Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών ΣΕΡΕΤΗ ΔΗΜΗΤΡΙΟΥ του Ιωάννη Αριθμός Μητρώου: 5443 Παρουσιάστηκε δημόσια και εξετάστηκε στο Τμήμα Ηλεκτρολόγων Μηχανικών και Τεχνολογίας Υπολογιστών στις 01/10/2010 Ο Επιβλέπων Ο Διευθυντής του Τομέα Σερπάνος Δημήτριος Καθηγητής Χούσος Ευθύμιος Καθηγητής 3

4 Computer Forensics Σερέτης Δημήτριος Αριθμός Διπλωματικής Εργασίας: Θέμα: «Ανάλυση μεθόδων και ανάπτυξη εργαλείου για αυτοματοποίηση διαδικασιών ανάλυσης αποδεικτικών στοιχείων υπολογιστών» Φοιτητής: Σερέτης Δημήτριος Επιβλέπων: Σερπάνος Δημήτριος Περίληψη H τεράστια ανάπτυξη του διαδικτύου οδηγεί καθημερινά στην μετατροπή των δεδομένων του φυσικού κόσμου σε ψηφιακή - ηλεκτρονική μορφή. Καθώς σχεδόν οποιαδήποτε υπηρεσία ή οργανισμός, ιδρύματα, εταιρείες και ιδιώτες χρησιμοποιούν υπολογιστές με πρόσβαση στο διαδίκτυο τις περισσότερες φορές για την διαχείριση των δεδομένων τους, η αξία της πληροφορίας που συγκεντρώνεται στο διαδίκτυο αποκτά τεράστιες διαστάσεις και γίνεται ένα θέμα που ολοένα και περισσότερο συζητιέται. Σε πολλές περιπτώσεις μάλιστα, ολόκληρη η πληροφορία είναι αποθηκευμένη σε ψηφιακά μέσα, χωρίς να υπάρχει σε έντυπη ή αναλογική μορφή. Ο πληθυσμός του Internet αν και έχει ακουστά πολλές περιπτώσεις παραβίασης της ασφάλειας συστημάτων και κλοπής δεδομένων, δεν έχει δεχτεί μια ολοκληρωμένη εκπαίδευση σε θέματα που αφορούν την δικτυακή ασφάλεια. Οι περισσότεροι χρήστες βρίσκονται σε σύγχυση όσον αφορά την ασφάλεια των δεδομένων τους, μην γνωρίζοντας τους κινδύνους και τις απειλές που αντιμετωπίζουν, ενώ οι εταιρείες παροχής υπηρεσιών -είτε πρόκειται για , είτε για υποβολή φορολογικών δηλώσεων και web banking- εθίζουν τους χρήστες σε πρακτικές χαμηλής ασφάλειας και παρέχουν μια αίσθηση ότι ασχολούνται αποτελεσματικά με την ασφάλεια των δεδομένων τους. Στην διπλωματική αυτή εργασία προσπαθήσαμε να κατανοήσουμε τα προβλήματα ασφαλείας που υπάρχουν και τις επιπτώσεις τους. Λαμβάνουμε υπόψη θέματα ασφαλείας που σχετίζονται με το TCP/IP και περιγράφουμε το μοντέλο OSI. Αναλύουμε την εξέλιξη των επιθέσεων και τα τρωτά σημεία που εκμεταλλεύονται συνήθως οι εισβολείς. Περιγράφουμε την μεθοδολογία με την οποία δρα ένας εισβολέας καθώς και εργαλεία που χρησιμοποιεί. Στην συνέχεια επικεντρωνόμαστε στις δυνατότητες που έχουν οι διαχειριστές συστημάτων για την προστασία των σταθμών εργασίας, των εξυπηρετητών και στην προστασία του δικτύου στο σύνολό του. Δώσαμε έμφαση στην διαδικασία παραβίασης ενός εξυπηρετητή του διαδικτύου και προτείναμε τρόπους θωράκισης. Αναφέραμε επίσης συστήματα ανίχνευσης εισβολών που υπάρχουν και τα κατηγοριοποιήσαμε. Τέλος αναπτύξαμε μια σειρά από εργαλεία που χρησιμοποιούνται στις εγκληματολογικές έρευνες, για συλλογή και ανάλυση των δεδομένων που υπήρξαν σε κάποιο συμβάν. Συνοψίζοντας, η διπλωματική εργασία έχει ως κύριο στόχο να ενημερώσει για θέματα ασφάλειας που απασχολούν τόσο έναν διαχειριστή ενός υπολογιστικού συστήματος, όσο και τον απλό χρήστη που αναζητά προστασία στον κόσμο της πληροφορίας και της δικτύωσης. 4

5 Περιεχόμενα Περιεχόμενα... 5 Πίνακας Σχημάτων Γενικά Γενικά Ηλεκτρονικό Έγκλημα Μορφές Κυβερνο-εγκλήματος Ασφάλεια στο Διαδίκτυο Επιθέσεις σε δίκτυα υπολογιστών Ιστορική ανασκόπηση Τι θέλουμε να προστατέψουμε κι από ποιους Βασικές Αρχές Ασφαλείας Στόχοι Επιπλέον αρχές ασφαλείας Παραβιασμένα Συστήματα (Compromised Systems) Τι καλούμε παραβιασμένο σύστημα; Πως έχουν τα πράγματα σήμερα Ορισμός ενός compromised συστήματος Ορισμός ενός rootkit Ακεραιότητα συστήματος Τύποι επιθέσεων σε compromised συστήματα Καθαρίζοντας ένα συμβατό σύστημα Η ανάγκη για ασφάλεια Μοντέλα αναφοράς Το μοντέλο αναφοράς OSI Επίπεδο Μεταφοράς Τα πρωτόκολλα TCP/UDP Πρωτόκολλα ασφαλείας επιπέδου μεταφοράς Τα πρώτα πρωτόκολλα Το πρωτόκολλο Secure Shell Το πρωτόκολλο SSL/TLS Το πρωτόκολλο εγγραφής SSL Το πρωτόκολλο χειραψίας SSL Μεθοδολογία επιθέσεων Αναγνώριση Δικτύου Έρευνα DNS Έλεγχος SNMP Σάρωση Σάρωση PING Σάρωση Θυρών (Port Scanning) Σάρωση Τρωτών Σημείων (Vulnerability Scanning) Είδη επιθέσεων και τεχνικές Επίθεση σε ιστοσελίδες Επίθεση στο ηλεκτρονικό ταχυδρομείο Επίθεση με εύρεση των κωδικών πρόσβασης Επίθεση με «ωτακουστές» (packet sniffers)

6 Computer Forensics Σερέτης Δημήτριος Επίθεση με πλαστογράφηση της IP διεύθυνσης (ip spoofing) Επίθεση με υπερχείλιση προσωρινής μνήμης Επίθεση μέσω άρνησης παροχής υπηρεσιών (DoS) Επίθεση με «εχθρικό κώδικα» Μέτρα αντιμετώπισης επιθέσεων Antivirus Τείχη Προστασίας (Firewalls) Τεχνικές που χρησιμοποιούν τα τείχη Χαρακτηριστικά τειχών προστασίας Τύποι τειχών προστασίας Διαμορφώσεις τειχών προστασίας Σύστημα Ανίχνευσης Επιθέσεων (IDS) Τύποι συστημάτων ανίχνευσης επιθέσεων Είδη μηχανισμών αποφάσεων των συστημάτων ανίχνευσης Network Based IDS Host Based IDS Τεχνικές Ανίχνευσης Επιθέσεων Ενδεικτικοί τύποι IDS Σύστημα Πρόληψης Επιθέσεων (IPS) Υλοποίηση διαδικτυακών επιθέσεων Software και εργαλεία Επιλογή λειτουργικού συστήματος Επιλογή διαδικτυακού διακομιστή Web Server Apache Επιλογή PHP γλώσσας Επιλογή πακέτου για τη δημιουργία βάσης δεδομένων MySQL Επιλογή εργαλείου Php MyAdmin Η συνεργασία των MySQL, PHP & Apache Server Λειτουργία του Apache Web Server OpenSSL Τρωτά σημεία που εκμεταλλευτήκαμε Μεγάλα μονοπάτια καταλόγου Πολλαπλές εμφανίσεις λίστας καταλόγου Mod_rewrite πρόσβαση αρχείων mod_auth_*sql παρεμβολή Υπερχείλιση buffer Ανάλυση και συλλογή στοιχείων Αντιμετώπιση της επίθεσης Κοινοποίηση της επίθεσης Αποθήκευση Ενεργή απάντηση Ανάλυση δεδομένων για τον χαρακτηρισμό μιας επίθεσης Backup των υπό επίθεση συστημάτων Απομόνωση των υπό επίθεση συστημάτων Αναζήτηση σε άλλα συστήματα για ίχνη εισβολής Έρευνα logs που δημιουργούνται από firewalls, δικτυακούς αισθητήρες και δρομολογητές Αναγνώριση των μεθόδων που χρησιμοποιήθηκαν στην επίθεση Αναγνώριση των ενεργειών του εισβολέα κατά την πρόσβαση στο σύστημα

7 8 Εργαλεία Εγκληματολογικής έρευνας Φάσεις εγκληματολογικής έρευνας Εργαλεία εγκληματολογικής έρευνας DD: Εργαλείο αντιγραφής για εγκληματολογική έρευνα DD: Ένα εργαλείο καθαρισμού σκληρών δίσκων Losetup: Μετασχηματισμός ενός κανονικού αρχείου σε μια συσκευή στο Linux Loopback Vnode: Μετασχηματισμός ενός κανονικού αρχείου σε μια συσκευή στο FreeBSD MD5SUM και MD5: Επικύρωση των συλλεχθέντων αποδεικτικών στοιχείων Βιβλιογραφία Παράρτημα - Εγκατάσταση προγραμμάτων/ εργαλείων MySQL Apache PHP Παράδειγμα κώδικα υπερχείλισης buffer στον Apache Παράδειγμα υπερχείλισης Παράδειγμα - Division by Infinity Backup Log Files To A Network Share

8 Computer Forensics Σερέτης Δημήτριος Πίνακας Σχημάτων Εικόνα 3-1: Τα επίπεδα του μοντέλου αναφοράς OSI...25 Εικόνα 3-2: Αλληλεπίδραση ίδιων επιπέδων διαφορετικών συστημάτων...26 Εικόνα 3-3: Το μοντέλο αναφοράς OSI...28 Εικόνα 3-4: Λειτουργία πρωτοκόλλου χειραψίας SSL...34 Εικόνα 4-1: Παράδειγμα whois αναζήτησης...36 Εικόνα 4-2: Χρήση του DNS / Who Is Resolver για whois αναζήτηση...37 Εικόνα 4-3: Παράδειγμα μεταφοράς ζώνης DNS με χρήση του εργαλείου nslookup...38 Εικόνα 4-4: Η ιεραρχία των DNS Εξυπηρετητών μέχρι τον εξυπηρετητή rea.cti.gr...39 Εικόνα 4-5: Επικεντρώνοντας στα φύλλα της παραπάνω απεικόνισης παρατηρούμε καλύτερα την διασύνδεση των Name Servers όσο φτάνουμε στον ζητούμενο (rea.cti.gr)...39 Εικόνα 4-6: Τα αποτελέσματα ενός ελέγχου SNMP...40 Εικόνα 4-7: Οι πληροφορίες που παίρνουμε από ένα σύστημα με ενεργό το SNMP...41 Εικόνα 4-8: Σάρωση PING για LAN στο οποίο υπάρχουν «ζωντανά» επτά συστήματα...43 Εικόνα 4-9: Τα αποτελέσματα μιας σάρωσης θυρών με την βοήθεια του εργαλείου Port Scanner...44 Εικόνα 4-10: Τα αποτελέσματα ενός ελέγχου τρωτών σημείων με το εργαλείο Nessus...46 Εικόνα 5-1 Διαμόρφωση παραπετάσματος με απλή έπαλξη...60 Εικόνα 5-2 Διαμόρφωση παραπετάσματος με διπλή έπαλξη...61 Εικόνα 5-3 Διαμόρφωση υποδικτύου παραπετάσματος...62 Εικόνα 5-4: Διάταξη Network Based IDS...64 Εικόνα 5-5: Παράδειγμα συστήματος ανίχνευσης διαταραχών...70 Εικόνα 5-6: Παράδειγμα συστήματος ανίχνευσης «κακής συμπεριφοράς»...71 Εικόνα 5-7: Μοντέλο μετάβασης καταστάσεων στο Unix...78 Εικόνα 6-1: Apache...84 Εικόνα 6-2 PHP...86 Εικόνα 6-3 MySQL...87 Εικόνα 6-4 phpmyadmin...88 Εικόνα 6-5: Συνεργασία MySQL, PHP & Apache Server...89 Εικόνα 6-6: Η βασική λογική του δομή του Apache

9 1 Γενικά 1.1 Γενικά Η Εγκληματολογική Επιστήμη (Forensic Science), ασχολείται με την ανακάλυψη, ανάλυση και νομική τεκμηρίωση των αποδείξεων, που συνδέουν μια αξιόποινη πράξη με ένα πρόσωπο, ή γενικότερα πρόσωπα και αποδεικτικά στοιχεία. Η ανάλυση του DNA και η εξέταση των δακτυλικών αποτυπωμάτων είναι μερικές από τις δυνατότητες της επιστήμης αυτής. Η Ηλεκτρονική Εγκληματολογία (Computer Forensic Science), είναι «η επιστήμη που ασχολείται με την αναγνώριση, διατήρηση, ανάλυση και παρουσίαση ψηφιακών αποδείξεων κατά τρόπο νομικά αποδεκτό». Όλο και πιο συχνά, οι αποδείξεις μιας αξιόποινης πράξης είναι κρυμμένες σε έναν υπολογιστή. Είναι αρκετά δύσκολο, όχι μόνο να εντοπίσουμε τις αποδείξεις, αλλά και να τις συγκεντρώσουμε με τέτοιο τρόπο ώστε να είναι αποδεκτές στο δικαστήριο. Οι διωκτικές αρχές πρέπει να αποδείξουν, ότι τα στοιχεία που συλλέχθηκαν από τη σκηνή διάπραξης του εγκλήματος, διατηρήθηκαν αναλλοίωτα και τεκμηριώνουν την ενοχή του κατηγορουμένου. Παράλληλα, θα πρέπει να βεβαιώσουν ότι δεν έγινε κάποια παράλειψη που κατέστρεψε αποδείξεις σχετικές με την αθωότητα του κατηγορουμένου. 1.2 Ηλεκτρονικό Έγκλημα Η ραγδαία εξέλιξη της τεχνολογίας, η ανάπτυξη της πληροφορικής καθώς και το Διαδίκτυο έχουν επιφέρει πρωτόγνωρες αλλαγές στην παραγωγική διαδικασία, στις εργασιακές σχέσεις, στις συναλλαγές και σε κάθε έκφανση της καθημερινότητας και της ανθρώπινης επαφής. Μαζί όμως με τις αλλαγές αυτές που διευκολύνουν, προάγουν και βοηθούν στην καλυτέρευση της ποιότητας ζωής και στην τάχιστη εξυπηρέτηση των αναγκών που δημιουργεί η σύγχρονη κοινωνίας, οι νέες τεχνολογίες και το Ίντερνετ διευκόλυναν και δημιούργησαν ιδανικές συνθήκες για την καλλιέργεια και ανάπτυξη νέων μορφών εγκληματικότητας που συνοψίζονται στον όρο Ηλεκτρονικό έγκλημα. Ο όρος Ηλεκτρονικό έγκλημα ή Ηλεκτρονική εγκληματικότητα αποτελεί μια ευρεία έννοια στην οποία εμπίπτουν όλες εκείνες οι αξιόποινες πράξεις που τελούνται με τη χρήση ενός συστήματος ηλεκτρονικής επεξεργασίας δεδομένων. Ο όρος αυτός διακρίνεται σε στενή και σε ευρεία έννοια. Η εν στενή έννοια ηλεκτρονική εγκληματικότητα αναφέρεται στις αξιόποινες πράξεις όπως είναι η ηλεκτρονική απάτη, η χωρίς άδεια απόκτηση δεδομένων, η παραποίηση δεδομένων και η δολιοφθορά δηλαδή εγκλήματα όπου ο ηλεκτρονικός υπολογιστής αποτελεί κύριο μέσο τέλεσης των εγκλημάτων. Αντίθετα η εν ευρεία έννοια εγκληματικότητα μέσω Η/Υ περιλαμβάνει όλα εκείνα τα αδικήματα για την τέλεση των οποίων ο ηλεκτρονικός υπολογιστής χρησιμοποιείται ως βοηθητικό μέσο. Στη σημερινή εποχή της πληροφορίας και των τεχνολογικών εξελίξεων παρατηρείται η ολοένα αυξανόμενη διείσδυση των ευρυζωνικών τεχνολογιών στην κοινωνία και διαφαίνεται η τάση για σύγκλιση των τηλεπικοινωνιακών δικτύων παροχής υπηρεσιών καθώς και για πρόσβαση «οποτεδήποτε», «από 9

10 Computer Forensics Σερέτης Δημήτριος οπουδήποτε», και «με οτιδήποτε». Σε αυτό το συνεχώς μεταβαλλόμενο περιβάλλον, η έννοια της Ασφάλειας Η/Υ & Δικτύων αποκτά μια καινούρια διάσταση. Παραδοσιακές ηλεκτρονικές απειλές όπως: Κακόβουλο λογισμικό, μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές και συστήματα, ενοχλητικά ηλεκτρονικά μηνύματα, επιθέσεις κλοπής ηλεκτρονικής ταυτότητας κ.λπ., αναμένεται να βρουν νέα, εξίσου γόνιμα, εδάφη για την εξάπλωσή τους. Επιπλέον, η κακόβουλη χρήση των τεχνολογιών δικτύωσης μπορεί να διευκολύνει την τέλεση συμβατικών εγκλημάτων ή να ενισχύσει επιπλέον το καταστρεπτικό τους έργο. Οι έννοιες «ηλεκτρονικό έγκλημα» ή «κυβερνο-έγκλημα» καθώς και οι τεχνολογίες που χρησιμοποιούνται για τη διάπραξη, ανίχνευση και αντιμετώπιση κακόβουλων επιθέσεων σε συστήματα και εφαρμογές, αποτελούν αναπόσπαστο κομμάτι του γνωστικού αντικειμένου της Ασφάλειας Πληροφοριακών Συστημάτων. 1.3 Μορφές Κυβερνο-εγκλήματος Σύμφωνα με τα αποτελέσματα έρευνας που διεξήγαγε η McConnell International σε 52 χώρες, με τίτλο «Cyber Crime and Punishment» κατατάσσει τα αδικήματα που διαπράττονται στον Κυβερνοχώρο στις παρακάτω κατηγορίες: Παρεμπόδιση (κυβερνο)κυκλοφορίας, Τροποποίηση και Κλοπή δεδομένων, Εισβολή και Σαμποτάζ σε δίκτυο, Μη εξουσιοδοτημένη πρόσβαση, Διασπορά ιών, Υπόθαλψη αδικημάτων, Πλαστογραφία και Απάτη. Κύριες μορφές Κυβερνοεγκλημάτων που εξιχνιάσθηκαν στην Ελλάδα από το Τμήμα Ηλεκτρονικού Εγκλήματος/ΔΑΑ: 1. Απάτες μέσω Διαδικτύου 2. Παιδική πορνογραφία 3. Cracking και hacking 4. Διακίνηση-πειρατεία λογισμικού 5. Πιστωτικές κάρτες 6. Διακίνηση ναρκωτικών 7. Έγκλημα στα chat rooms 10

11 2 Ασφάλεια στο Διαδίκτυο 2.1 Επιθέσεις σε δίκτυα υπολογιστών Η ανάπτυξη των δικτύων υπολογιστών προήλθε από την ανάγκη των διαφόρων εταιριών και οργανισμών να καταστούν διαθέσιμα όλα τα προγράμματα και τα δεδομένα που κρατούνταν μέχρι τότε σε μεμονωμένους υπολογιστές, σε οποιονδήποτε στο δίκτυο, ανεξάρτητα από τη φυσική θέση των πόρων (resources) και του χρήστη. Στον τομέα των επιχειρήσεων, τα δίκτυα υπολογιστών προσφέρουν ένα ισχυρό επικοινωνιακό μέσο για εργαζόμενους που είναι μεταξύ τους πολύ απομακρυσμένοι. Με τη χρήση ενός δικτύου, είναι εύκολο για δύο ή περισσότερους ανθρώπους, που βρίσκονται σε μεγάλη απόσταση μεταξύ τους να γράψουν μία αναφορά μαζί. Όταν ένας εργαζόμενος πραγματοποιεί μία αλλαγή σε ένα on-line κείμενο οι άλλοι μπορούν να δουν αμέσως την αλλαγή αυτή αντί να περιμένουν αρκετές μέρες για μία επιστολή. Στις αρχές της δεκαετίας του 90, με την εξάπλωση του Διαδικτύου σε ολόκληρο τον κόσμο, τα δίκτυα υπολογιστών άρχισαν να παρέχουν υπηρεσίες σε ιδιώτες, στα σπίτια τους. Οι υπηρεσίες αυτές περιλαμβάνουν την πρόσβαση σε απομακρυσμένες πληροφορίες, την επικοινωνία πρόσωπο με πρόσωπο και τη διασκέδαση με αλληλεπίδραση. Η πρόσβαση σε απομακρυσμένες πληροφορίες είναι πολυμορφική. Μία περιοχή στην οποία ήδη συμβαίνει είναι η πρόσβαση σε τραπεζικούς οργανισμούς. Πολλοί άνθρωποι πληρώνουν τα χρέη τους, διαχειρίζονται τους τραπεζικούς τους λογαριασμούς και τις επενδύσεις τους ηλεκτρονικά. Οι αγορές από το σπίτι (home shopping) έχουν γίνει δημοφιλείς, με τη δυνατότητα να ανατρέχει κανείς σε on-line καταλόγους χιλιάδων εταιριών. Μία άλλη μεγάλη καινοτομία στα δίκτυα υπολογιστών αποτελεί ο Παγκόσμιος Ιστός (World Wide Web) που περιέχει πληροφορίες για τις τέχνες, τις επιχειρήσεις, την κυβέρνηση, την υγεία, την ιστορία, τη διασκέδαση, τις επιστήμες, τα ταξίδια και ένα σωρό άλλα θέματα. Επίσης το ηλεκτρονικό ταχυδρομείο ( ) χρησιμοποιείται ήδη από εκατομμύρια ανθρώπων και μεταφέρει εκτός του κειμένου, εικόνα και ήχο. Μία άλλη πολύ σημαντική καινοτομία αποτελεί η αποκαλούμενη τηλεδιάσκεψη (video-conference) μεταξύ διεσπαρμένων, σε μεγάλες γεωγραφικές περιοχές, ανθρώπων. Οι διασκέψεις αυτές χρησιμοποιούνται σήμερα για την λειτουργία σχολείων από απόσταση (e-learning), τη λήψη ιατρικών διαγνώσεων από απομακρυσμένους ειδικούς γιατρούς και πολυάριθμες άλλες εφαρμογές. Στις πρώτες δεκαετίες της ύπαρξης τους τα δίκτυα υπολογιστών χρησιμοποιήθηκαν πρωταρχικά από πανεπιστημιακούς ερευνητές για την αποστολή ηλεκτρονικού ταχυδρομείου και από υπαλλήλους οργανισμών για την 11

12 Computer Forensics Σερέτης Δημήτριος από κοινού χρήση εκτυπωτών. Υπό τις συνθήκες αυτές η ασφάλεια δεν συγκέντρωνε την προσοχή. Αλλά σήμερα, καθώς εκατομμύρια πολιτών χρησιμοποιούν τα δίκτυα για τις τραπεζικές συναλλαγές τους και τις αγορές τους, η ασφάλεια δικτύου εμφανίζεται απειλητικά στον ορίζοντα ως ένα ενδεχόμενο μαζικό πρόβλημα. Τα περισσότερα προβλήματα ασφάλειας προκαλούνται εσκεμμένα από κακόβουλα άτομα που προσπαθούν να αποσπάσουν κάποιο κέρδος ή να βλάψουν κάποιον. Χαρακτηριστικό παράδειγμα αποτελεί η βιομηχανική κατασκοπία, όπου μια εταιρία θα ήθελε να γνωρίζει τα μελλοντικά σχέδια των ανταγωνιστικών εταιριών και αν ήταν δυνατόν να αχρηστέψει τις υπηρεσίες που προσφέρουν μέσω του Διαδικτύου έτσι ώστε να τις βλάψει οικονομικά και να κερδίσει η ίδια μερίδιο από τους πελάτες αυτών των εταιριών. Είναι ολοφάνερο ότι το να κάνει κάποιος ένα δίκτυο ασφαλές είναι πολύ πιο απαιτητικό από το να το προστατεύει από λάθη προγραμματισμού. Απαιτεί το να ξεγελάσει κανείς τους συχνά ευφυείς, αφοσιωμένους και μερικές φορές καλά χρηματοδοτημένους αντιπάλους. Είναι επίσης ολοφάνερο, ότι τα μέτρα που θα σταματήσουν τους περιστασιακούς αντιπάλους θα ασκήσουν λίγη επίδραση στους σοβαρούς. Για το λόγο αυτό, επειδή η δημιουργία ενός ασφαλούς δικτύου φαντάζει ουτοπική, θα πρέπει να υπάρχει πρόληψη για την έγκαιρη ανίχνευση των επιθέσεων από κακόβουλους χρήστες του δικτύου. Συμπεραίνουμε λοιπόν πως το δίκτυο μας θα πρέπει να είναι εφοδιασμένο με ένα εργαλείο ανίχνευσης επιθέσεων. Το εργαλείο αυτό θα πρέπει να είναι σε θέση να ειδοποιεί τον διαχειριστή ασφάλειας του δικτύου όταν γίνεται κάποια επίθεση, προκειμένου αυτός να προσπαθήσει να την αντιμετωπίσει προστατεύοντας το στόχο της επίθεσης. 2.2 Ιστορική ανασκόπηση Το Internet άρχισε σαν ένα πείραμα στα τέλη της δεκαετίας του '60 από τον Advanced Research Projects Agency (ARPA, τώρα πλέον DARPA), του αμερικανικού Υπουργείου Άμυνας. Το Δεκέμβριο του 1969, το πειραματικό δίκτυο είχε online τέσσερις κόμβους συνδεμένους με κυκλώματα των 56Kbps. Η τεχνολογία αυτή αποδείχτηκε αξιόπιστη και οδήγησε σε δύο παρόμοια στρατιωτικά δίκτυα το MILNET στις Ηνωμένες Πολιτείες και το MINET στην Ευρώπη. Σιγά σιγά το δίκτυο απέκτησε μερικές χιλιάδες κόμβους δημιουργώντας έτσι το πρώτο Internet το ARPANET. Από τότε μέχρι σήμερα ο ρυθμός σύνδεσης νέων κόμβων συνεχώς αυξάνεται. Το πρώτο δίκτυο, το ARPANET είχε αρχικά σχεδιαστεί με σκοπό την ευελιξία. Με την πάροδο του χρόνου και όσο προσθέτονταν κόμβοι, άρχισαν τα πρώτα βήματα του hacking. Αρχικά οι ερευνητές που χρησιμοποιούσαν το δίκτυο αντάλλασσαν αστεία και ενοχλητικά μηνύματα αυτοί ήταν οι πρώτοι hackers. Ήταν σπάνιο εκείνο τον καιρό μία προσπάθεια απομακρυσμένης σύνδεσης σε έναν άλλο κόμβο να θεωρηθεί επίθεση, κυρίως λόγω του ότι οι χρήστες του δικτύου, ήταν μία μικρή ομάδα ανθρώπων που γνώριζαν προσωπικά ο ένας τον άλλο. 12

13 Τα πρώτα πραγματικά προβλήματα ασφάλειας εμφανίστηκαν γύρω στο 1980 κυρίως λόγω της χρησιμοποίησης των υπολογιστών για διαχείριση απόρρητων δεδομένων και συγκεκριμένα δεδομένων που σχετίζονταν με στρατιωτικές πληροφορίες. Η αποκορυφώθηκε το 1986, που εξαιτίας ενός λογιστικού λάθους που παρατήρησε ο Cliff Stoll, σε ένα τηλεφωνικό λογαριασμό που σύνδεε τους υπολογιστές στο ARPANET, του Lawrence Berkeley National Laboratory στην Βόρεια Καλιφόρνια, ανακάλυψε πως γινόταν μία διεθνής προσπάθεια μέσω του δικτυού να κλαπούν πληροφορίες από στρατιωτικούς κόμβους στην Αμερική. H διαμοιραζόμενη χρήση υπολογιστικών και δικτυακών πόρων και πληροφοριών αυξάνεται με εκθετικούς ρυθμούς και στα 1980 είναι αναγκαία η χρήση λειτουργικών συστημάτων που να αποτρέπουν τους χρήστες από ανεπιθύμητη -σκόπιμη ή όχι- αλληλεπίδραση καθώς και θωράκιση των δικτύων απέναντι στην ανασφαλή τους φύση. Παράλληλα με τη δυνατότητα απόκρυψης της πληροφορίας (που απαιτείται σε περιπτώσεις μετάδοσης διαβαθμισμένης πληροφορίας), επιβάλλεται και η διατήρηση της ορθότητας της κατά τη μεταφορά και την ανάκτηση της (που είναι διακαής στόχος των επιχειρήσεων και της αγοράς εν γένει). Οι υπολογιστές αποτελούν ταυτόχρονα, μέσα και στόχους επιθέσεων και η ασφάλεια τους δεν αντιμετωπίζεται ως αυτοσκοπός αλλά σαν το βασικό στοιχείο της διασφάλισης πληροφοριών. 2.3 Τι θέλουμε να προστατέψουμε κι από ποιους Προκειμένου να διασαφηνιστεί ο όρος ασφάλεια είναι αναγκαίο να οριστούν ποιοι πόροι πρέπει να «προστατεύονται» και απέναντι σε ποιες «απειλές». Ως πόροι που πρέπει να προστατεύονται θεωρούνται διεργασίες καθώς και αρχεία ή δεδομένα που μεταφέρονται σε υπολογιστές ή δίκτυα υπολογιστών. Πόροι μπορεί ακόμα να είναι η φήμη και η αξιοπιστία (π.χ. deface σε μία εταιρία που κάνει ελέγχους ασφάλειας). Ως απειλές για την ασφάλεια πληροφοριών θεωρούνται μορφές αναπαραγόμενου κώδικα, όπως ιοί (viruses), σκουλήκια (worms), εκτελέσιμα αρχεία εντελών (shell scripts), exploits που μπορούν να χρησιμοποιούν ατέλειες του λογισμικού (bugs) προκειμένου να αλλοιώσουν τα δικαιώματα προσπέλασης διεργασιών. Στα πλαίσια μιας γενικότερης θεώρησης, ασφάλεια θεωρείται η επιτυχής εξουδετέρωση απειλών όπως κλοπή, απάτη, διασυρμός, κατασκοπεία, εκβιασμός, τρομοκρατία. Με βάση το κίνητρο της επίθεσης, που μπορεί να είναι από απλή επιθυμία απόκτησης πρόσβασης σε απαγορευμένους πόρους μέχρι και ανορθόδοξη επίτευξη πολιτικών και οικονομικών στόχων, διακρίνονται οι ακόλουθες κατηγορίες εισβολών: Hackers: επεμβαίνουν παράνομα σε υπολογιστές επειδή απλά αντιμετωπίζουν τη διαδικασία της προσβολής της ασφάλειας υπολογιστών και δικτύων σαν πρόκληση για τις προγραμματιστικές του ικανότητες. 13

14 Computer Forensics Σερέτης Δημήτριος Κατάσκοποι (Spies): επιδιώκουν την παράνομη απόκτηση πληροφοριών με απώτερο στόχο το πολιτικό όφελος. Τρομοκράτες (Terrorists): σκοπεύουν στο να διασπείρουν φόβο σχετικά με πολιτικά ζητήματα και γι αυτό χρησιμοποιούν πληροφορίες που έχουν αποκτήσει με μη νόμιμο τρόπο. Βιομηχανικοί κατάσκοποι (Corporate Raiders): επιδιώκουν την απόκτηση πρόσβασης σε πληροφορίες και συστήματα ανταγωνιστικών εταιριών και επιχειρήσεων με σκοπό το οικονομικό όφελος εις βάρος τους. Επαγγελματίες εγκληματίες (Professional Criminals): στοχεύουν στην ικανοποίηση προσωπικών οικονομικών οφελών μέσω παράνομης απόκτησης πληροφοριών ή παραποίησης τους. Βάνδαλοι (Vandals): έχουν ως μόνο στόχο την πρόκληση ζημιάς με οποιοδήποτε τρόπο και χωρίς κάποιο συγκεκριμένο προσωπικό όφελος. Ανεξάρτητα από την κατηγοριοποίηση των επιτιθεμένων σε ένα σύστημα, κύριο πρόβλημα που πρέπει να αντιμετωπιστεί είναι ο έγκαιρος προσδιορισμός των τρωτών και η βελτίωση της ασφάλειας των συστημάτων πριν από τους επιτιθέμενους. 2.4 Βασικές Αρχές Ασφαλείας Στόχοι Οι στόχοι μιας υλοποίησης ασφαλείας υπολογιστών συνήθως συνοψίζονται σε τρεις έννοιες, γνωστές με το αρκτικόλεξο CIA: Εμπιστευτικότητα: Η αρχή του εμπιστευτικότητας (confidentiality) προστατεύει ευαίσθητη πληροφορία από μη εξουσιοδοτημένη πρόσβαση ή υποκλοπή της. Η πληροφορία πρέπει να είναι εμφανής μόνο μεταξύ των νόμιμων άκρων μιας επικοινωνίας και όχι και σε αυτούς που πιθανά «ακούνε» το κανάλι της επικοινωνίας. Ακεραιότητα: Η αρχή του ακεραιότητα (integrity) εξασφαλίζει ότι η πληροφορία ή το λογισμικό είναι πλήρες, σωστό και αυθεντικό, με άλλα λόγια ότι δεν έχει υποστεί κάποια αλλαγή με κάποιον παράνομο τρόπο. Θέλουμε να εξασφαλίσουμε ότι υπάρχουν κατάλληλοι μηχανισμοί στα σωστά σημεία, οι οποίοι μας προστατεύουν από τυχαία ή κακόβουλη τροποποίηση της αρχικής πληροφορίας. Διαθεσιμότητα: Η αρχή του διαθεσιμότητας (availability) εξασφαλίζει ότι η πληροφορία ή οι υπηρεσίες είναι προσπελάσιμες και λειτουργικές, όταν ζητηθούν από κάποιον ο οποίος είναι εξουσιοδοτημένος για πρόσβαση σε αυτές. Με την αρχή αυτή σχετίζεται και η έννοια της εμπιστοσύνης. Η εμπιστοσύνη έχει να κάνει με το κατά πόσο μπορεί κάποιος χρήστης να εμπιστεύεται ένα υπολογιστικό σύστημα και να είναι εφησυχασμένος ότι το σύστημα κάνει αυτό που ισχυρίζεται και όχι κάποια άλλη ανεπιθύμητη ενέργεια. 14

15 Διαφορετικά συστήματα, που εξυπηρετούν διαφορετικούς σκοπούς, ρίχνουν μεγαλύτερο βάρος σε κάποια από τις τρεις αυτές αρχές. Για παράδειγμα κάποιος πάροχος internet (ISP) ενδιαφέρεται περισσότερο να παρέχει στους χρήστες του availability. Ο στρατός από την άλλη ρίχνει περισσότερο βάρος στο confidentiality του δικτύου του, καθώς πρόσβαση σε πληροφορίες του πρέπει να έχουν λίγοι μόνο εξουσιοδοτημένοι χρήστες. Εδώ μάλιστα υπάρχει και κατηγοριοποίηση πρόσβασης, καθώς διαφορετικά άτομα έχουν και διαφορετικού επιπέδου πρόσβαση σε πληροφορία. Οι περισσότερες επιχειρήσεις τώρα πρέπει να δίνουν έμφαση και στις τρεις αυτές αρχές, με ίσως λίγο μεγαλύτερη στο integrity των δεδομένων τους Εμπιστευτικότητα Η αρχή του confidentiality (εμπιστευτικότητας) προστατεύει ευαίσθητη πληροφορία από μη εξουσιοδοτημένη πρόσβαση ή υποκλοπή της. Συνήθως χρησιμοποιείται κρυπτογραφία και έλεγχος πρόσβασης, ώστε να εξασφαλιστεί η εμπιστευτικότητα των δεδομένων. Η προσπάθεια που θα καταβληθεί για να εξασφαλιστεί η εμπιστευτικότητα των δεδομένων εξαρτάται από το πόσο ευαίσθητα είναι τα δεδομένα του. Διάφορες εφαρμογές παρέχουν κρυπτογράφηση από άκρο σε άκρο, ωστόσο σε μια τέτοια περίπτωση υπάρχει το μειονέκτημα ότι καθένα από τα άκρα θα πρέπει να υποστηρίζει το ίδιο πρωτόκολλο κρυπτογράφησης. Ιδεατά Ιδιωτικά Δίκτυα, γνωστά ως (VPNs), μπορούν να χρησιμοποιηθούν ως εναλλακτική λύση για δημιουργία ενός ασφαλούς καναλιού επικοινωνίας μεταξύ δύο απομακρυσμένων σημείων. Κρυπτογραφία μπορεί να χρησιμοποιηθεί και στο επίπεδο συνδέσμου μετάδοσης δεδομένων (data-link layer) του μοντέλου OSI, ωστόσο είναι δύσκολο στην εφαρμογή του, καθώς απαιτεί κάθε ενδιάμεση συσκευή δικτύωσης στο μονοπάτι επικοινωνίας να συμμετέχει στην κρυπτογράφηση. Προστασία με φυσικά μέσα εφαρμόζεται παράλληλα για να περιορίσει την μη εξουσιοδοτημένη πρόσβαση σε υπολογιστικά κέντρα ή σε μέρη όπου υπάρχει δικτυακός εξοπλισμός. Ένας βασικός λόγος που λαμβάνονται μέτρα περιορισμού της φυσικής πρόσβασης σε μέρη με δικτυακό εξοπλισμό είναι για να μειωθεί η πιθανότητα κάποιος να μπορεί να λαμβάνει πακέτα χωρίς να πρέπει. Αυτό μπορεί να επιτευχθεί με χρήση προγραμμάτων λογισμικού τα οποία συλλαμβάνουν πακέτα τα οποία όμως δεν προορίζονταν για αυτά. Με τον τρόπο αυτό μπορεί κάποιος να υποκλέψει σημαντικές πληροφορίες, τόσο για τα δεδομένα, όσο και για την ίδια την δομή του δικτύου Ακεραιότητα Η αρχή του integrity (ακεραιότητα) εξασφαλίζει ότι η πληροφορία δεν έχει υποστεί κάποια αλλαγή με κάποιον παράνομο τρόπο κατά την μεταφορά της από τον αποστολέα στον παραλήπτη της. Επιθυμούμε να προστατέψουμε την πληροφορία να δεχθεί τροποποίηση από χρήστες ή εφαρμογές που δεν είναι εξουσιοδοτημένες να πράξουν κάτι τέτοιο, ή από χρήστες που είναι μεν 15

16 Computer Forensics Σερέτης Δημήτριος εξουσιοδοτημένοι για προσπέλαση, αλλά τα δικαιώματά τους δεν τους επιτρέπουν να πραγματοποιήσουν καμιά τροποποίηση σε αυτήν. Για να μπορούμε να πούμε ότι ικανοποιείται η ακεραιότητα των δεδομένων μας πρέπει να εξασφαλίζεται ότι το μήνυμα που φτάνει σε έναν παραλήπτη είναι ίδιο με αυτό που έφυγε από τον αποστολέα. Το περιεχόμενο του μηνύματος πρέπει να είναι πλήρες και να μην έχει υποστεί καμιά αλλαγή σε κάποιον ενδιάμεσο κόμβο του δικτύου, και το κανάλι της επικοινωνίας είναι μεταξύ της νόμιμης πηγής και του σωστού προορισμού. Η ακεραιότητα μιας σύνδεσης μπορεί να εξασφαλιστεί με χρήση κρυπτογραφίας και έλεγχο δρομολόγησης. Ισχυρές μέθοδοι εξασφάλισης της ακεραιότητας υπάρχουν όταν γίνεται χρήση hash συναρτήσεων, όπως ο αλγόριθμος MD5 ή ο Ασφαλής Hash Αλγόριθμος (SHA). Η ακεραιότητα επεκτείνεται και στο λογισμικό των δικτυακών συσκευών, μέσω των οποίων μεταφέρονται δεδομένα. Το λογισμικό πρέπει να πιστοποιείται ώστε να εξασφαλίζεται η προέλευσή του και η ορθή μεταφορά του στην κάθε συσκευή. Για παράδειγμα, όπως τα IP πακέτα έχουν ένα checksum με το οποίο ελέγχουν ότι δεν αλλοιώθηκε το πακέτο κατά την μεταφορά, έτσι και το λογισμικό των δικτυακών συσκευών της γνωστής εταιρίας CISCO συνοδεύεται από ένα checksum. Όταν το λογισμικό εγκατασταθεί σε κάποια συσκευή τότε πρέπει να πιστοποιείται ότι το checksum που επιστρέφει το λογισμικό με αυτό που δίνει η εταιρία για το λογισμικό αυτό. Έτσι εξασφαλίζεται η ορθή μεταφορά και εγκατάσταση του στην κάθε συσκευή Διαθεσιμότητα Η αρχή του availability (διαθεσιμότητας) εξασφαλίζει ότι η πληροφορία ή οι υπηρεσίες είναι προσπελάσιμες και λειτουργικές, όταν ζητηθούν από κάποιον ο οποίος είναι εξουσιοδοτημένος για πρόσβαση σε αυτές. Η ανοχή σε σφάλματα, ο πλεονασμός, τα εφεδρικά αντίγραφα, οι διαδικασίας ανάκτησης, η ανθεκτικότητα και η εξισορρόπηση φορτίου είναι σχεδιαστικές αρχές του δικτύου, οι οποίες χρησιμοποιούνται για να εξασφαλιστεί η διαθεσιμότητα. Αν τα συστήματα δεν είναι διαθέσιμα όταν πρέπει, τότε οι έννοιες εμπιστευτικότητα και ακεραιότητα δεν έχουν καμία απολύτως σημασία. Επιθέσεις Άρνησης Εξυπηρέτησης (DoS) έχουν ως στόχο να εμποδίσουν την ομαλή λειτουργία ενός συστήματος και να το κάνουν, έστω και προσωρινά, μη διαθέσιμο. Τέτοιες επιθέσεις σε servers εταιριών που δραστηριοποιούνται στο διαδίκτυο μπορεί να σημαίνουν σημαντική απώλεια εσόδων, οπότε σε τέτοιες περιπτώσεις η διαθεσιμότητα είναι ο πρώτος στόχος. Το πρόβλημα με τις επιθέσεις DoS γίνεται σήμερα ακόμη μεγαλύτερο, καθώς εμφανίζεται συχνά μια νέα εκδοχή αυτού του τύπου επίθεσης, η DDoS (Distributed Denial of Service), η οποία είναι ακόμη πιο αποτελεσματική και δύσκολη στην αντιμετώπιση. 16

17 2.4.2 Επιπλέον αρχές ασφαλείας Εκτός της προαναφερόμενης τριάδας αρχών (CIA), υπάρχει μια πληθώρα από αρχές ασφαλείας οι οποίες πρέπει οπωσδήποτε να λαμβάνονται υπ όψιν κατά το σχεδιασμό ή την υλοποίηση ενός πλάνου ασφαλείας. Οι βασικότερες από τις αρχές αυτές είναι η Ιδιωτικότητα (Privacy), η Πιστοποίηση (Authentication), η Εξουσιοδότηση (Authorization) και η Υπευθυνότητα (Accountability) Ιδιωτικότητα (Privacy) Η αρχή της ιδιωτικότητας εξασφαλίζει πως η πληροφορία που ανταλλάσσεται μεταξύ των χρηστών παραμένει απόρρητη και είναι εμφανής μόνο στους νόμιμους χρήστες. Για να είναι ένα δίκτυο υπολογιστών ασφαλές, πρέπει να εξασφαλίζεται πως κανένας κακόβουλος ενδιάμεσος χρήστης δεν μπορεί να δει την πληροφορία που διακινείται πάνω στο δίκτυο. Το να εμποδίζεται η αλλοίωση των δεδομένων είναι οπωσδήποτε κρίσιμο σε ένα δίκτυο, ωστόσο αυτό δεν αρκεί. Για να μπορεί κάποιος να ισχυρισθεί πως είναι ασφαλής, θα πρέπει να εξασφαλίζεται και το απόρρητο της επικοινωνίας. Μάλιστα, στις μέρες μας είναι πολύ συχνό θέμα συζήτησης τα Ευαίσθητα Προσωπικά Δεδομένα, για την προστασία των οποίων και λαμβάνονται συνεχώς μέτρα. Και μόνο το γεγονός αυτό πρέπει να μας κάνει να σκεφτούμε πάρα πολύ σοβαρά την αρχή της ιδιωτικότητας σε οποιαδήποτε προσπάθεια υλοποίησης ασφαλείας σε ένα δίκτυο υπολογιστών. Ένα μέτρο που χρησιμοποιείται για την ικανοποίηση της παραπάνω απαίτησης είναι η κρυπτογραφία. Κρυπτογραφώντας την μεταδιδόμενη πληροφορία καταφέρνουμε να την «κρύψουμε» από οποιονδήποτε κακόβουλο ενδιάμεσο αποδέκτη ή παρατηρητή, δίνοντάς της μια ακαταλαβίστικη μορφή, από την οποία είναι δύσκολο να εξαχθεί η αρχική πληροφορία Πιστοποίηση (Authentication) Πιστοποίηση είναι η διαδικασία εκείνη που εξασφαλίζει πως ένας χρήστης είναι νόμιμος για κάποιο σύστημα. Για να γίνει η πιστοποίηση απαιτείται τα διαπιστευτήρια του χρήστη να αντιστοιχούν με αυτά του συστήματος στο οποίο ο χρήστης θέλει να αποκτήσει πρόσβαση. Η πιο συχνή μορφή πιστοποίησης είναι με τη χρήση κάποιου μυστικού κωδικού, συνήθως σε συνδυασμό με ένα όνομα χρήστη. Ο χρήστης που θέλει να πιστοποιήσει τον εαυτό του στο σύστημα, εισάγει το όνομα χρήστη και τον κωδικό που αντιστοιχεί στο όνομα αυτό και αν ο συνδυασμός αυτός ταυτίζεται με αυτόν που έχει το σύστημα, τότε ο χρήστης πιστοποιείται και αποκτά πρόσβαση με δικαιώματα αυτά που του παρέχει ο συγκεκριμένος λογαριασμός. Η χρήση του συνδυασμού ονόματος χρήστη και κωδικού για την πιστοποίηση ενός χρήστη, αν και χρησιμοποιείται ευρύτατα, δεν αποτελεί, τουλάχιστον από μόνη της, την ιδανική λύση στο πρόβλημα της πιστοποίησης. Συνήθως χρησιμοποιείται σε συνδυασμό με άλλες τεχνικές οι οποίες αυξάνουν κατά πολύ το βαθμό ασφαλείας της όλης διαδικασίας. Μπορεί για παράδειγμα να χρησιμοποιείται σε συνδυασμό με τεχνικές κρυπτογραφίας, ώστε τα 17

18 Computer Forensics Σερέτης Δημήτριος διαπιστευτήρια να μην στέλνονται πάνω από το δίκτυο ως απλό κείμενο (plain text), αλλά με κάποια κρυπτογραφημένη μορφή. Η λύση του κωδικού πάσχει και από την φύση της, καθώς δεν είναι σπάνιο το φαινόμενο χρηστών που εύκολα αποκαλύπτουν τον κωδικό τους ή τον έχουν ακόμη και σημειωμένο κάπου κοντά στο σύστημα στο οποίο πιστοποιείται. Για την αποφυγή τέτοιων καταστάσεων αναπτύχθηκαν τεχνικές οι οποίες πιστοποιούν κάποιον χρήστη μοναδικά, αξιοποιώντας τα μοναδικά χαρακτηριστικά του κάθε ατόμου. Μια τέτοια τεχνική κάνει χρήση των χαρακτηριστικών της ίριδας του ματιού και πιστοποιεί κάποιον χρήστη συγκρίνοντας την ίριδα του ματιού του, με αυτήν που έχει αποθηκευμένη για τον χρήστη αυτό. Με τέτοιες τεχνικές είναι φανερό πως τα μειονεκτήματα της χρήσης κωδικού για την πιστοποίηση ενός χρήστη, εξαλείφονται και το σύστημα πιστοποιεί πλέον με μεγαλύτερη πιθανότητα μόνο νόμιμους χρήστες Εξουσιοδότηση (Authorization) Μόλις κάποιος χρήστης πιστοποιηθεί, τότε πρέπει να εξουσιοδοτηθεί. Η διαδικασία της εξουσιοδότησης εξασφαλίζει τα κατάλληλα δικαιώματα για τον χρήστη που μόλις πιστοποιήθηκε. Με άλλα λόγια καθορίζει τι ενέργειες επιτρέπεται να εκτελέσει στο σύστημα και τι δεδομένα μπορεί να προσπελάσει. Η διαδικασία της εξουσιοδότησης είναι από τις πλέον σημαντικές σε ένα σύστημα, καθώς λανθασμένες ρυθμίσεις στον λογαριασμό ενός χρήστη, ενδέχεται να του δώσουν πρόσβαση σε λειτουργίες ή δεδομένα που δε θα έπρεπε να μπορεί να διαχειριστεί. Ένα τέτοιο λάθος καταργεί αυτομάτως τον όποιο σχεδιασμό ασφαλείας έχει αναπτυχθεί. Υπάρχει μια λογική η οποία είναι γνωστή ως «Αρχή των Ελαχίστων Δικαιωμάτων» και η οποία πρέπει να ακολουθείται σε κάθε περίπτωση. Αυτό που μας υποδεικνύει είναι πως πάντα πρέπει να δίνουμε τα ελάχιστα δικαιώματα σε κάποιον χρήστη, ώστε να μπορεί να εκπληρώσει την εργασία του στο σύστημα. Τίποτε παραπάνω. Οποιοδήποτε επιπλέον δικαίωμα στον λογαριασμό του, όσο αθώο και να φαίνεται, μπορεί να αποτελέσει τρωτό σημείο τόσο για το σύστημα, όσο και για το δίκτυο συνολικά. Όσο πιο περιορισμένα είναι τα δικαιώματα ενός λογαριασμού, τόσο πιο ασφαλές είναι το περιβάλλον που επιβλέπουμε. Δυστυχώς η αλήθεια αυτή συχνά παραβλέπεται από τους διαχειριστές δικτύων, οι οποίοι για να αποφύγουν περιπτώσεις διαμαρτυριών για τον περιορισμό των δικαιωμάτων από τους χρήστες, προτιμούν να δίνουν επιπλέον δικαιώματα στους λογαριασμούς, χωρίς όμως να υπάρχει λόγος. Μια καλή λύση στο πρόβλημα αυτό είναι ο καθορισμός αυστηρών κανόνων ασφαλείας και οδηγιών για τα επίπεδα δικαιωμάτων από την διοίκηση της κάθε εταιρίας ή οργανισμού. Με τον τρόπο αυτό, οι διαχειριστές δικτύων μπορούν να εφαρμόσουν αυστηρή πολιτική ασφαλείας, αποφεύγοντας τις διαμαρτυρίες των υπολοίπων χρηστών, στηριζόμενοι πάντα στο πλάνο ασφαλείας που έχει εκδοθεί από την διοίκηση. 18

19 Υπευθυνότητα (Accountability) Η πολιτική ασφαλείας ενός οργανισμού ή μιας εταιρίας έχει νόημα και πρακτική εφαρμογή μόνο αν υπάρχει η έννοια της υπευθυνότητας. Με άλλα λόγια, η ασφάλεια έχει νόημα μόνο στην περίπτωση όπου κάθε χρήστης είναι υπεύθυνος για τις πράξεις του. Η αποτελεσματικότητα τώρα της αρχής αυτής έχει να κάνει με το κατά πόσο είναι δυνατή η σωστή απόδοση ευθυνών, αλλά και με την ικανότητα ανίχνευσης των ενεργειών ενός χρήστη. Η υπευθυνότητα αρχίζει να έχει υπόσταση όταν, μέσω των μηχανισμών πιστοποίησης και εξουσιοδότησης, γίνει η ταύτιση ενός ατόμου με τις ενέργειές του σε κάποιο σύστημα ή σε κάποιο δίκτυο. 2.5 Παραβιασμένα Συστήματα (Compromised Systems) Παραβιασμένο σύστημα (compromised system) είναι ένα υπολογιστικό σύστημα άγνωστης ακεραιότητας, για τον λόγο ότι κάποιος επιτιθέμενος, έχει κερδίσει παράνομα την πρόσβασή του σε αυτό Τι καλούμε παραβιασμένο σύστημα; Σε ένα παραβιασμένο σύστημα υφίσταται η συμφωνία στην οποία κάθε πλευρά σταματά μερικές απαιτήσεις ή κάνει κάποιες παραχωρήσεις σε κάποιο άλλο σύστημα που θέλει να το χρησιμοποιήσει. Είναι μια ρύθμιση της αντίστασης των αρχών των συστημάτων με σκοπό να τροποποιήσει μερικές πτυχές. Αποτέλεσμα μιας τέτοιας ρύθμισης είναι να βρεθεί εκείνη η πτυχή μεταξύ των δυο συστημάτων ώστε να πραγματοποιείται η αλληλεπίδραση και η συνεργασία μεταξύ τους. Πραγματοποιείται δηλαδή μια αποδυνάμωση της ασφάλειας του συστήματος από κάποιο άλλο, για την χειραγώγησή του. Ένα παραβιασμένο σύστημα στερείται την επαρκή αντίσταση στην επίθεση που δέχεται. Ο επιτιθέμενος που έχει συμβιβάσει ένα σύστημα θα εγκαταστήσει συχνά ένα σύνολο εργαλείων, γνωστό ως rootkit, το οποίο θα σπάσει την ακεραιότητα στο σύστημα καθώς επίσης και θα εξυπηρετήσει τον επιτιθέμενο με άλλες λειτουργίες. Ένας τύπος rootkit είναι ο kernel-rootkit, ο οποίος θα τροποποιήσει τον τρέχοντα κώδικα πυρήνων με τον νέον μη αξιόπιστο κώδικα πυρήνων. Συγκεκριμένα ο αρχικός πυρήνας rootkits αντικαθιστά τις εμπιστευόμενες κλήσεις συστήματος με τροποποιημένες στις οποίες έχει και την πρόσβαση. Ένας τρόπος για να ανακτήσουμε από αυτούς τους τύπους rootkits είναι να εξαγάγουμε τον πίνακα κλήσης συστημάτων από μια γνωστή εικόνα πυρήνων και να επανατοποθετήσουμε τον πίνακα κλήσης συστημάτων στον τρέχοντα πυρήνα. 19

20 Computer Forensics Σερέτης Δημήτριος Πως έχουν τα πράγματα σήμερα Τα σύγχρονα συγκροτήματα ηλεκτρονικών υπολογιστών είναι τρωτά σε μια ευρεία ποικιλία επιθέσεων. Δεδομένου ότι οι επιτιθέμενοι αναπτύσσουν τις μεθόδους για να εκμεταλλευτούν αυτές τις ευπάθειες, ένας μεγάλος αριθμός συστημάτων παραβιάζεται. Οι παραβιάσεις αυτές είναι δαπανηρές στα άτομα, τις επιχειρήσεις, τις κυβερνήσεις, και άλλες οργανώσεις από την άποψη της παραβίασης, του χρόνου διακοπής, της διοίκησης, και της αποκατάστασης στοιχείων. Ο αριθμός νέων ευπαθειών που ανακαλύπτονται κάθε έτος αυξάνεται, και υπό αυτήν τη μορφή πιστεύουμε ότι οι παραβιάσεις συστημάτων θα συνεχίσουν να είναι ένα πρόβλημα για το εγγύς μέλλον. Πολλή εργασία έχει γίνει στην παρεμπόδιση και την ανίχνευση των παραβιασμένων συστημάτων εντούτοις, οι επιθέσεις συστημάτων συνεχίζουν να είναι ένα πρόβλημα. Μέχρι σήμερα έχουμε δει λίγα πράγματα σχετικά με τις μεθόδους για την ανάκτηση των εν λόγω συστημάτων Ορισμός ενός compromised συστήματος Όταν ένας επιτιθέμενος κερδίσει κάποιο επίπεδο δικαιοδοσιών σε ένα συγκρότημα ηλεκτρονικών υπολογιστών, το σύστημα λέγεται ότι είναι συμβατό (compromised). Εάν ο επιτιθέμενος κερδίσει την πρόσβαση ρίζας (root), ο συμβιβασμός θεωρείται root-level συμβιβασμός. Με τα root-level προνόμια, ο επιτιθέμενος μπορεί να αλλάξει οποιοδήποτε κατάσταση μέσα στο σύστημα. Ο επιτιθέμενος είναι πλέον κύριος του συστήματος. Μπορεί να τροποποιήσει το σύστημα έτσι ώστε οι αρχικές εμπιστευμένες διαδικασίες υποβολής εκθέσεων να μην εκθέτουν πλέον τις εξακριβωμένες πληροφορίες. Κάποια επίπεδα εμπιστοσύνης πρέπει να επανεγκατασταθούν στο σύστημα προτού να μπορέσουν όλοι που εκθέτουν τις πληροφορίες να στηριχθούν επάνω, ανάλογα με το πώς έχει σπάσει η ακεραιότητα του συστήματος. Για να είναι ένα σύστημα συμβατό θα πρέπει να ισχύουν τα ακόλουθα: 1. Ένας επιτιθέμενος έχει κερδίσει κάποιο επίπεδο προνομίων στο σύστημα. 2. Ο επιτιθέμενος μπορεί να διαβάσει ή να τροποποιήσει κάποια μερίδα των καταστάσεων μέσα στο σύστημα. Για να είναι ένα σύστημα root-level συμβατό θα πρέπει να ισχύουν: Ένας επιτιθέμενος έχει κερδίσει την απεριόριστη πρόσβαση στο σύστημα. Οποιοδήποτε κατάσταση μέσα στο σύστημα μπορεί να διαβαστεί ή να τροποποιηθεί από τον επιτιθέμενο. Η ακεραιότητα του συστήματος να είναι σπασμένη. 20

21 2.5.4 Ορισμός ενός rootkit Ένα rootkit μπορεί να θεωρηθεί ως μορφή ενός trojan. Μόλις παραβιάσει ένας επιτιθέμενος ένα σύστημα, χρησιμοποιεί συχνά ένα rootkit ως εργαλείο για να διατηρήσει συγκεκαλυμμένα την πρόσβαση σε εκείνο το σύστημα. Ένα rootkit μπορεί να περιέχει τα βοηθήματα για να επιτρέψει στον επιτιθέμενο να διατηρήσει την πρόσβαση, να κρύψει τις διαδικασίες και τις δραστηριότητες, και να σπάσει την ακεραιότητα στο τοπικό σύστημα που εκθέτει και που καλεί τις λειτουργίες. Ταξινομούμε τα rootkits σε user-level και kernel-level. Ένας χρήστης-rootkit level θα αλλάξει τα εργαλεία λειτουργικών συστημάτων στο επίπεδο χρηστών (που περιλαμβάνει συνήθως την προσθήκη ή την τροποποίηση δυαδικών συστημάτων όπως /bin/login). Ένας kernel-level rootkit θα αλλάξει ή θα παρεμβάλει τον kernel-space κώδικα εκτέλεσης (π.χ. κλήσεις συστημάτων) Ακεραιότητα συστήματος Ακεραιότητα μπορεί να οριστεί ως το επίπεδο στο οποίο ένας χρήστης θεωρεί ότι ένα συγκρότημα ηλεκτρονικών υπολογιστών εκτελεί όπως έχει προσδιορισθεί και δεν κάνει τίποτα άλλο. Εάν υπάρχει παραβίαση σε εκείνο το συγκρότημα ηλεκτρονικών υπολογιστών και ο χρήστης το ανακαλύπτει, το επίπεδο στο οποίο ο χρήστης εμπιστεύεται το σύστημα ελαττώνεται σημαντικά. Το χαμηλωμένο επίπεδο εμπιστοσύνης είναι κατανοητό επειδή, παραδείγματος χάριν, ένα rootkit μπορεί να εγκατασταθεί στο συμβιβασμένο σύστημα έτσι ώστε οι εντολές λιστών αρχείων να κρύβουν ορισμένα αρχεία και έτσι να μην εκτελέσει όπως προσδιορίζεται. Ένα συμβατό σύστημα (compromised system) είναι κάτι περισσότερο από έναν παραβιασμένο υπολογιστή. Ένα τέτοιο σύστημα μπορεί να χρησιμοποιηθεί για να επιτεθεί σε άλλα συστήματα και θεωρείται γενικά απειλή σε όλα τα άλλα συστήματα που συνδέονται με αυτό στο δίκτυο. Εκτός από την ύπαρξη μιας απειλής, ένα συμβατό σύστημα μπορεί επίσης να είναι μια πύλη, που εκθέτει πολλούς τύπους ευαίσθητων δεδομένα, όπως: a. Προσωπικές πληροφορίες αριθμών (CC) πιστωτικών καρτών b. αριθμών κοινωνικής ασφάλισης (SSN) c. προσωπικές πληροφορίες, συμπεριλαμβανομένων των κωδικών πρόσβασης σε έναν τραπεζικό λογαριασμό d. s και άλλους διαδικτυακούς λογαριασμούς Σε μία διαδικτυακή κοινότητα ένα συμβατό σύστημα μπορεί να είναι ιδιαίτερα καταστρεπτικό επειδή καταχωρούμε ή επεξεργαζόμαστε SSN και άλλα προστατευμένα στοιχεία των μελών που την απαρτίζουν. Ένα μεμονωμένο γεγονός θα μπορούσε να κοστίσει μεγάλα χρηματικά ποσά στο μετριασμό και την ενημέρωση ενός τέτοιου συμβάντος. Πόσο μάλλον τον 21

22 Computer Forensics Σερέτης Δημήτριος αρνητικό αντίκτυπο που θα χει στα μέλη της κοινότητας ή στους χορηγούς αυτής Τύποι επιθέσεων σε compromised συστήματα Trojan Horse Ένα trojan αναφέρεται σε ένα κακόβουλο πρόγραμμα που εισάγεται σε έναν υπολογιστή ή σε ένα σύστημα μεταμφιεσμένο ή ενσωματωμένο μέσα σε φαινομενικά νόμιμο λογισμικό. Εγκατεστημένο σε έναν υπολογιστή, ένα trojan μπορεί να διαγράψει τα αρχεία, να διαβιβάσει τις προσωπικές πληροφορίες, να τροποποιήσει τον υπολογιστή, ή ακόμα και να επιτρέψει στους επιτιθέμενους να χρησιμοποιήσουν τον υπολογιστή ως όπλο ενάντια σε άλλους υπολογιστές σε ένα δίκτυο. Keylogger Βασισμένο σε λογισμικό εργαλείο που μπορεί να χρησιμοποιηθεί για την ανάγνωση αναγραφής πληκτρολογίων. Μπορεί να χρησιμοποιηθεί για καλούς ή κακούς σκοπούς, αλλά όταν μιλάμε για συμβατά συστήματα, μόνο για κακό μπορεί να χρησιμοποιηθεί. Backdoor Σε ένα συγκρότημα ηλεκτρονικών υπολογιστών, ένα backdoor αναφέρεται σε μια αγνοημένη ή κρυμμένη είσοδο μέσα σε ένα συγκρότημα ηλεκτρονικών υπολογιστών. To backdoor επιτρέπει σε έναν χάκερ ή άλλον αναρμόδιο χρήστη για να παρακάμψει μια απαίτηση κωδικού πρόσβασης και να αποκτήσει πρόσβαση σε έναν υπολογιστή. Rootkit Λογισμικό που έχει ως μόνο σκοπό να κρύβει τον εαυτό του και τις δραστηριότητές του από τα εργαλεία του κύριου λειτουργικού συστήματος που χρησιμοποιούνται από το χρήστη ή τον root-user ενός υπολογιστή Καθαρίζοντας ένα συμβατό σύστημα Ένα συμβατό σύστημα δεν καθαρίζεται με μια απλή επιδιόρθωση. Η επιδιόρθωση αφαιρεί μόνο την ευπάθεια. Στην περίπτωση που ένας επιτιθέμενος έχει καταλάβει ένα υπολογιστικό σύστημα σημαίνει ότι υπήρξαν αρκετοί άλλοι λόγοι που του επέτρεψαν να το κάνει αυτό. Ένα συμβατό σύστημα δεν καθαρίζεται αφαιρώντας τα backdoor. Για τον λόγο ότι δεν μπορούμε να εγγυηθούμε ότι έχουν βρεθεί όλα τα backdoor που χρησιμοποίησε ο επιτιθέμενος. Για παράδειγμα κάποιος μπορεί να μην βρίσκει άλλα μπορεί πολύ απλά να και να μην ξέρει που να ψάξει, ή το σύστημα μπορεί να έχει τροποποιηθεί έτσι ώστε να μην είναι πραγματικά όπως φαίνεται. Ένα συμβατό σύστημα δεν καθαρίζεται με τη χρησιμοποίηση κάποιου vulnerability remover. 22

23 Για παράδειγμα αν το σύστημά μας χτυπηθεί από ένα blaster και χρησιμοποιήσουμε ένα remover από κάποιους προμηθευτές (π.χ. Microsoft) δεν σημαίνει ότι η συγκεκριμένη ευπάθεια του συστήματος μας δεν μπορεί να χρησιμοποιηθεί και από άλλα blaster διαφορετικού τύπου. Ένα συμβατό σύστημα δεν καθαρίζεται με τη χρησιμοποίηση ενός σαρωτή ιών. Για τον απλό λόγο ότι ένα συμβατό σύστημα δεν μπορεί να θεωρηθεί αξιόπιστο. Ακόμη και οι σαρωτές ιών πρέπει σε κάποιο επίπεδο να στηριχθούν στο σύστημα για να βρεθούν αυτοί. Εάν ρωτούν για παράδειγμα εάν ένα ιδιαίτερο αρχείο είναι παρόν, ο επιτιθέμενος μπορεί απλά να έχει ένα εργαλείο στη θέση όπου βρίσκεται το συγκεκριμένο αρχείο. Ένα συμβατό σύστημα δεν καθαρίζεται με την επανατοποθέτηση του λειτουργικού συστήματος πέρα από την υπάρχουσα εγκατάσταση. Πάλι, ο επιτιθέμενος μπορεί να έχει τα εργαλεία σε μέρος που να παραπλανεί τον οδηγό εγκατάστασης. Εάν συμβαίνει αυτό, ο οδηγός εγκατάστασης δεν μπορεί να αφαιρέσει πραγματικά τα συμβιβασμένα αρχεία. Επιπλέον, ο επιτιθέμενος μπορεί να είχε βάλει τα backdoors στα μη-λειτουργικά τμήματα του συστήματος. Δεν μπορούμε να εμπιστευτούμε οποιαδήποτε αντιγραμμένα δεδομένα από ένα συμβατό σύστημα. Μόλις πάρει ένας επιτιθέμενος στην κατοχή του ένα σύστημα, όλα τα στοιχεία όσον αφορά αυτό μπορούν να τροποποιηθούν. Στην καλύτερη περίπτωση, τα στοιχεία αντιγραφής από ένα συμβιβασμένο σύστημα και η τοποθέτηση του σε ένα καθαρό σύστημα θα μας δώσουν ενδεχομένως μη αξιόπιστα στοιχεία. Στη χειρότερη περίπτωση μπορεί στην πραγματικότητα να αντιγράψουμε μια backdoor που κρύβεται στα στοιχεία αυτά. Δεν μπορούμε να εμπιστευτούμε τα event logs σε ένα συμβατό σύστημα. Στην προσπάθεια για την πλήρη πρόσβασης σε ένα σύστημα, είναι απλό για έναν επιτιθέμενο να τροποποιήσει το event που συνδέεται σε εκείνο το σύστημα για να καλύψει οποιεσδήποτε διαδρομές. Εάν στηρίζεται κάποιος στα logs για να μας πει τι έχει γίνει στο σύστημά, πολύ πιθανόν να διαβάζει ότι ο επιτιθέμενος θέλει να διαβάσει. Μπορεί επίσης να μην είμαστε καν σε θέση να εμπιστευθούμε το πιο πρόσφατο backup μας. Δεν μπορούμε να είμαστε σίγουροι πότε η αρχική επίθεση πραγματοποιήθηκε. Τα event logs δεν μπορούν να είναι αξιόπιστα για να μας πουν. Χωρίς εκείνη την γνώση, το πιο πρόσφατο backup μας είναι άχρηστο. Μπορεί να είναι ένα backup που να περιλαμβάνει όλες τα backdoor αυτής της περιόδου στο σύστημα. Καταλήγοντας ο μόνος τρόπος για να καθαριστεί ένα συμβατό σύστημα είναι να επανοικοδομηθεί από την αρχή. Δηλαδή στην περίπτωση ενός πλήρως συμβατού συστήματος είναι η διαμόρφωση του δίσκου του συστήματος και η επανατοποθέτηση του λειτουργικού και των εφαρμογών που είχαμε εγκαταστήσει σε αυτό. 23

24 Computer Forensics Σερέτης Δημήτριος 2.6 Η ανάγκη για ασφάλεια Η υλοποίηση ασφαλείας σ ένα δίκτυο κοστίζει αρκετά και καμιά φορά είναι και ενοχλητική για τους χρήστες. Τα δύο αυτά αρνητικά της είναι αρκετά ώστε να πει κάποιος πως δεν υπάρχει λόγος να αναπτύξει κάποιο σύστημα ασφαλείας. Πολλές εταιρίες μάλιστα εφάρμοσαν αυτήν την στρατηγική και προτίμησαν να μην μπουν στην διαδικασία ανάπτυξης ασφαλείας στο δίκτυό τους. Εκ του αποτελέσματος βέβαια, μπορούμε σήμερα να πούμε πως μια τέτοια στρατηγική ήταν κοντόφθαλμη και λανθασμένη, καθώς τελικά τους κόστισε περισσότερο η απουσία ασφαλείας του δικτύου τους. Έρευνες του Computer Security Institute (CSI)/FBI έδειξαν ότι οι εταιρίες είχαν σημαντικές απώλειες (της τάξεως των εκατομμυρίων δολαρίων) από επιθέσεις ιών ή σκουληκιών, από παράνομη πρόσβαση στα συστήματά τους, από κλοπή εμπιστευτικών πληροφοριών, από επιθέσεις άρνησης εξυπηρέτησης και μια σειρά άλλων επιθέσεων. Ένα αποτελεσματικό πρόγραμμα ασφαλείας μπορεί να προσφέρει πολλά σε μια εταιρία και να την γλιτώσει από πολλά έξοδα. Έχει εκτιμηθεί πως οι τρεις πιο σοβαρές απειλές από άποψη κόστους ήταν το CodeRed με τις παραλλαγές του, που κόστισε περίπου 2.62 δισεκατομμύρια δολάρια, ο SirCam που κόστισε περίπου 1.15 δισεκατομμύρια δολάρια και ο Nimda με κόστος που ανέρχεται στα 635 εκατομμύρια δολάρια. Και για τις τρεις αυτές απειλές υπήρχε λύση, μόνο που οι εταιρίες είτε δεν είχαν προβλέψει να χρησιμοποιούν κάποιο εργαλείο ελέγχου ασφαλείας, είτε η χρήση τέτοιων εργαλείων δεν ήταν αυτή που θα έπρεπε. Το σίγουρο είναι πως εταιρίες που είχαν επενδύσει σε ασφάλεια υπέστησαν και τη μικρότερη ζημιά, επομένως το όποιο αρχικό κόστος για υλοποίηση ασφαλείας αποσβέστηκε πλήρως κατά την εμφάνιση αυτών των απειλών. Από την άλλη δεν είναι λίγες οι περιπτώσεις εταιριών που θεωρούν πως δεν είναι στόχοι κάποιας επίθεσης, οπότε το να ξοδέψουν για την ασφάλεια των συστημάτων τους είναι άσκοπο. Τέτοιες σκέψεις σήμερα είναι εκτός πραγματικότητας, καθώς υπάρχουν άπειρα εργαλεία αυτόματου ελέγχου για τρωτά σημεία συστημάτων, τα οποία επιλέγονται πολλές φορές και τυχαία. Σε μια τέτοια περίπτωση δεν υπάρχει πρόθεση για εκμετάλλευση συγκεκριμένου συστήματος κάποιας εταιρίας, αλλά πρόθεση να προσβληθεί όποιο σύστημα μπορεί να εξυπηρετήσει κάποιον απώτερο σκοπό. Μπορεί, για παράδειγμα, να διαπεραστεί η ασφάλεια ενός μηχανήματος, όχι για άλλο λόγο, αλλά για να χρησιμοποιηθεί σε μια επίθεση προς κάποιον άλλο στόχο. Στην περίπτωση αυτή μπορεί μεν να μην υποκλέπτονται πληροφορίες της εταιρίας, αλλά η εταιρία αυτή προκαλεί πρόβλημα στην κοινότητα του διαδικτύου αδιαφορώντας για την δικιά της ασφάλεια, καθώς γίνεται το μέσο εξάπλωσης των διαφόρων απειλών. 24