ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΜΕΣΟΛΟΓΓΙΟΥ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΕΦΑΡΜΟΓΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΤΗ ΔΙΟΙΚΗΣΗ ΚΑΙ ΟΙΚΟΝΟΜΙΑ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Μέγεθος: px
Εμφάνιση ξεκινά από τη σελίδα:

Download "ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΜΕΣΟΛΟΓΓΙΟΥ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΕΦΑΡΜΟΓΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΤΗ ΔΙΟΙΚΗΣΗ ΚΑΙ ΟΙΚΟΝΟΜΙΑ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ"

Transcript

1 ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΜΕΣΟΛΟΓΓΙΟΥ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΕΦΑΡΜΟΓΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΤΗ ΔΙΟΙΚΗΣΗ ΚΑΙ ΟΙΚΟΝΟΜΙΑ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ <<Προστασία Προσωπικών Δεδομένων στο Διαδίκτυο>> ΑΠΟΣΤΟΛΟΠΟΥΛΟΥ ΝΙΚΟΛΙΤΣΑ Α.Μ.: 9521 ΔΑΡΑΜΟΥΣΚΑΣ ΒΑΣΙΛΗΣ Α.Μ.: 9516 Επιβλέπων: Σπύρος Συρμακέσης, Αναπληρωτής Καθηγητής Μεσολόγγι 2008

2 ebusiness Laboratory Τμήμα Εφαρμογών Πληροφορικής στη Διοίκηση και Οικονομία Σχολή Διοίκησης και Οικονομίας ΤΕΙ Μεσολογγίου Απαγορεύεται η αναπαραγωγή ολόκληρου ή τμήματος του κειμένου χωρίς την έγγραφη άδεια του εργαστηρίου. 1

3 Περίληψη Θέμα της πτυχιακής εργασίας είναι η προστασία προσωπικών δεδομένων στο διαδίκτυο. Δομή Εργασίας Η εργασία ακολουθεί της εξής δόμηση: Το Μέρος 1 ο εισάγει τους αναγνώστες στους όρους διαδίκτυο και προστασία προσωπικών δεδομένων και στα διαδικτυακά εγκλήματα. Το 1 ο κεφάλαιο ασχολείται με την έννοια του διαδικτύου και την αρχιτεκτονική του. Το 2 ο κεφάλαιο αναλύει την έννοια των προσωπικών δεδομένων και παρουσιάζει τους νόμους που ισχύουν τόσο σε εθνικό όσο και σε διεθνές επίπεδο για την προστασία των προσωπικών δεδομένων. Το 3 ο κεφάλαιο αναφέρεται στα διαδικτυακά εγκλήματα που τελούνται σε διάφορες δραστηριότητες των χρηστών στον παγκόσμιο ιστό. Το Μέρος 2 ο παρουσιάζει όλα τα μέσα και τις μεθόδους που είναι απαραίτητες ώστε να προστατευθούν τα προσωπικά δεδομένα των χρηστών από κάθε κίνδυνο υποκλοπής ή ελεύθερης διακίνησης τους. Το 4 ο κεφάλαιο προβάλλει την ασφάλεια περιμέτρου του δικτύου ενός χρήστη και πιο συγκεκριμένα παρουσιάζει το σύστημα firewall ως ένα μηχανισμό άμυνας με τις δυνατότητες και τις αδυναμίες του. Το 5 ο κεφάλαιο ασχολείται με την ασφάλεια των Web Εξυπηρετητών οι οποίοι διαχειρίζονται και διανέμουν πληροφορίες στο διαδίκτυο καθώς επίσης και με την ασφάλεια των Web Εφαρμογών οι οποίες αποτελούν αξιόλογο υλικό αποθήκευσης προσωπικών δεδομένων. Το 6 ο κεφάλαιο αναλύει την κρυπτογράφηση και τις μεθόδους της, οι οποίες μετατρέπουν τα δεδομένα με τέτοιο τρόπο ώστε να μην ευανάγνωστα από κάθε κακόβουλο εισβολέα.. Το 7 ο κεφάλαιο αναφέρεται στον τρόπο με τον οποίο ένα χρήστης πιστοποιεί ότι είναι αυτός που δηλώνει και όχι κάποιος άλλος. Το 8 ο κεφάλαιο εξετάζει τις ψηφιακές υπογραφές και πως μπορούν αυτές να διασφαλίσουν την γνησιότητα, την ακρίβεια, και τη μη αλλοίωση του περιεχομένου ενός εγγράφου. Το 9 ο κεφάλαιο περιεργάζεται τα ψηφιακά πιστοποιητικά τα οποία αποτελούνται από πανίσχυρα συστήματα απόκρυψης των προσωπικών δεδομένων όσων τα κατέχουν. Το 10 ο κεφάλαιο διερευνά τους τρόπους προστασίας των εφαρμογών ηλεκτρονικού εμπορίου και καταλήγει στην ασφαλέστερη μέθοδο που είναι το πρωτόκολλο SSL. Το 11 ο κεφάλαιο ασχολείται με την ασφάλεια των εφαρμογών ηλεκτρονικού ταχυδρομείου από τη στιγμή που θα σταλεί ένα ηλεκτρονικό μήνυμα μέχρι τον τελικό του προορισμό χωρίς να παραβιαστεί ή να αλλοιωθεί. Το 12 ο κεφάλαιο αναλύει τους τρόπους προστασίας των ηλεκτρονικών πληρωμών και όλων εκείνων των χαρακτηριστικών ασφαλείας που είναι απαραίτητα για να διεξαχθεί μια συναλλαγή πληρωμής. 2

4 Το Μέρος 3 ο παρουσιάζει έρευνες που έχουν πραγματοποιηθεί πάνω στην προστασία προσωπικών δεδομένων και δίνει αναλυτικές οδηγίες τόσο σε ενήλικους όσο και σε ανήλικους για το πώς θα μπορέσουν να προστατέψουν τα προσωπικά τους δεδομένα με απλούς τρόπους. Το 13 ο κεφάλαιο προβάλλει τις τάσεις επιθέσεων στο διαδίκτυο, τους τρόπους διατήρησης της ανωνυμίας των χρηστών και τις τεχνικές προστασίας των προσωπικών δεδομένων σε περιπτώσεις δημοσίευσης αυτών. Το 14 ο κεφάλαιο αναφέρεται σε στατιστικά στοιχεία χρήσης του διαδικτύου από τους νέους στην Ελλάδα, στα κίνητρα των ηλεκτρονικών εγκληματιών και στη έλλειψη προφύλαξης των προσωπικών δεδομένων των ανήλικων. 3

5 Summary The subject of the present diploma thesis is the protection of personal data in the internet Structure This work follows layout: The Part 1st imports the readers in the terms of internet and protection of personal data and in the internet crimes. The 1st chapter deals with the significance of internet and his architecture. The 2nd chapter analyzes the significance of personal data and it presents the laws that are in effect in national and in international level for the protection of personal data. The 3rd chapter is reported in the internet crimes that are taken place in various activities of users in the world web. The part 2nd presents the means and the methods that are necessary so that the personal data of users can de protected from each danger stealing or free trading. The 4th chapter appears the perimeter safety of network of user and more concretely presents the system firewall as a mechanism of defence with its possibilities and its weaknesses. The 5th chapter deals with the safety of Web Server that manage and distribute information in the internet as well as with the safety of Web Applications that constitutes appreciable material of storage of personal data. The 6th chapter analyzes the encryption and her methods, that change the data in such a way that they cann t be readably from each bad intruder. The 7th chapter is reported in the way that a user certifies that is the person that declares and no some other. The 8th chapter examines the digital signatures and how these can ensure the genuineness, the precision, and the not alteration of content of document. The 9th chapter examines the digital certificates which constituting from almighty systems of dissimulation of personal data. The 10th chapter investigates the ways of protection of applications of electronic trade and it leads to the sure method that is protocol SSL. The 11th chapter deals with the safety of applications of electronic post from the moment that an electronic message will be sent up to his final destination without being forced or being degraded. The 12th chapter analyzes the ways of protection of electronic payments and all those characteristics of safety that are essential in order to be carried out a transaction of payment. 4

6 The part 3rd presents researches that have been realised on the protection of personal data and it gives analytic directives in adults and in minors for how they might protect their personal data with simple ways. The 13th chapter appears tendencies of attacks in the internet, the ways of maintenance of anonymity of users and the techniques of protection of personal data in cases of publication of these. The 14th chapter is reported in statistical elements of use of internet from young persons in Greece, in the motives of electronic criminals and in the lack of precaution of personal data of minors. 5

7 Περιεχόμενα Εισαγωγή...9 ΜΕΡΟΣ 1 Ο Εισαγωγή στους όρους διαδίκτυο και προσωπικά δεδομένα...15 ΚΕΦΑΛΑΙΟ 1 Ο Διαδίκτυο Η έννοια του διαδικτύου Αρχιτεκτονική του διαδικτύου Τα επίπεδα του διαδικτύου Επίπεδο Φυσικής Πρόσβασης Επίπεδο Δικτύου (ΙΡ Πρωτόκολλο) Επίπεδο Μεταφοράς Επίπεδο Εφαρμογών Προσέγγιση Το Μοντέλο Σύντομη Περιγραφή του Μοντέλου...25 ΚΕΦΑΛΑΙΟ 2 Ο Προσωπικά Δεδομένα Η έννοια των προσωπικών δεδομένων Προστασία Προσωπικών Δεδομένων Κοινοτική Οδηγία 95/46/ΕΕ Κοινοτική Οδηγία 2002/58/ΕΕ Προστασία Προσωπικών Δεδομένων στην Ελλάδα Κανονισμοί Α.Δ.Α.Ε Κανονισμός για τη διασφάλιση του Απορρήτου...36 ΚΕΦΑΛΑΙΟ 3 Ο Διαδικτυακά Εγκλήματα Στην Ηλεκτρονική Αλληλογραφία Ιοί Ενοχλητική Αλληλογραφία Μηνύματα Απατηλού Περιεχομένου Προστασία Προσωπικών Δεδομένων Στις Ηλεκτρονικές Συναλλαγές Στις Ηλεκτρονικές Πληρωμές Πιστωτικές Κάρτες Ηλεκτρονικές Επιταγές Ηλεκτρονικό Χρήμα Ηλεκτρονικό Πορτοφόλι Έξυπνες Κάρτες Στις Διαδικτυακές τραπεζικές συναλλαγές H σημερινή εφαρμογή τους στην Ελλάδα Στην Άμεση Συνομιλία (chat) Στo Διαμοιρασμό Αρχείων

8 ΜΕΡΟΣ 2 ο Μέσα Προστασίας Προσωπικών Δεδομένων...53 ΚΕΦΑΛΑΙΟ 4 Ο Ασφάλεια Περιμέτρου Firewalls Η Αναγκαιότητα Χρήσης των Firewalls Δυνατότητες των Firewalls Αδυναμίες των Firewalls Ζητήματα Σχεδίασης των Firewalls Πολιτική Σχεδίασης των Firewalls Αρχιτεκτονική των Firewalls Φίλτρα Πακέτων Πύλες Εφαρμογών Υβριδκά Συστήματα Ασφαλείας Εγκατάσταση Firewall Συμπεράσματα...71 ΚΕΦΑΛΑΙΟ 5 ο Ασφάλεια Web Εξυπηρετητών και Web Εφαρμογών Η έννοια των Web Εξυπηρετητών Λειτουργίες των Web Εξυπηρετητών Σφάλματα στην Ασφάλεια του Web Εξυπηρετητή Πολιτική Ασφάλειας Ασφάλεια Συστήματος και Λογισμικού των Web Εξυπηρετητών Ταυτότητα Χρήστη (User Identifier, UID) του Εξυπηρετητή Ρυθμίσεις που Πρέπει να Αποφεύγονται Ασφαλή CGI Scripts Μέτρα Ασφάλειας Χρήση του Υπολογιστή μόνο από τον Web Εξυπηρετητή Συστήματα Firewall Προστασία Εμπιστευτικών Αρχείων Web Εξυπηρετητές και Εμπόριο Ασφάλεια Web Εφαρμογών Απαιτήσεις Ασφαλείας Επίδραση στο Επιχειρησιακό Περιβάλλον Εχθροί, Απειλές και Επιθέσεις Μέσα Προστασίας Αρχές Ασφαλείας Πλάνο Ασφαλείας...91 ΚΕΦΑΛΑΙΟ 6 ο Κρυπτογράφηση: Το Α και το Ω της δικτυακής ασφάλειας Παρελθόν και Μέλλον Αναγκαιότητα Χρήσης της Κρυπτογράφησης Μέθοδοι Κρυπτογράφησης Συμμετρική Κρυπτογράφηση Ασύμμετρη Κρυπτογράφηση Μειονεκτήματα & Πλεονεκτήματα Συμμετρικής & Ασύμμετρης Κρυπτογραφίας Αλγόριθμοι Συμμετρικής Κρυπτογράφησης Αλγόριθμοι Ασύμμετρης Κρυπτογράφησης Απλές Εφαρμογές της Κρυπτογραφίας

9 Διαφύλαξη του Απορρήτου και Κρυπτογράφηση Πιστοποίηση Ταυτότητας και Ψηφιακές Υπογραφές ΚΕΦΑΛΑΙΟ 7 ο Πιστοποίηση Αυθεντικότητας Η Υποδομή Δημόσιου Κλειδιού Πρωτόκολλα Πιστοποίησης Αυθεντικότητας Πιστοποίηση Αυθεντικότητας Βασισμένη σε Μοιραζόμενο Μυστικό Κλειδί Εγκατάσταση Μοιραζόμενου Κλειδιού Πιστοποίηση Αυθεντικότητας με τη Χρήση Κέντρου Διανομής Κλειδιών Πιστοποίηση Αυθεντικότητας με Χρήση Κρυπτογραφίας Δημοσίου Κλειδιού.107 ΚΕΦΑΛΑΙΟ 8 ο Ψηφιακές Υπογραφές Η έννοια της Ψηφιακής Υπογραφής Η Ψηφιακή Υπογραφή ως υποκατάστατο της ιδιόχειρης Νομικά Ζητήματα Υπογραφές με Κρυπτογραφία Μυστικού Κλειδιού Υπογραφές με Κρυπτογραφία Δημοσίου Κλειδιού ΚΕΦΑΛΑΙΟ 9 ο Ψηφιακά Πιστοποιητικά Η έννοια των Ψηφιακών Πιστοποιητικών Υποδομή των Ψηφιακών Πιστοποιητικών Πάροχοι Υπηρεσιών Πιστοποίησης Μοντέλα Εμπιστοσύνης Διαδικασία Δημιουργίας Ψηφιακών Πιστοποιητικών Διαδικασία Ανάκλησης Ψηφιακών Πιστοποιητικών Οργανισμοί Πιστοποίησης Το Πιστοποιητικό X Η Σημερινή Πραγματικότητα ΚΕΦΑΛΑΙΟ 10 ο Ασφάλεια Εφαρμογών Ηλεκτρονικού Εμπορίου Πρωτόκολλο Ασφάλειας SSL Αρχιτεκτονική του SSL SSL Record Protocol SSL Handshake Protocol Αντοχή του SSL σε Γνωστές Επιθέσεις Το SSL στο Ηλεκτρονικό Εμπόριο Transport Layer Security Protocol, TLS ΚΕΦΑΛΑΙΟ 11 ο Ασφάλεια Εφαρμογών Ηλεκτρονικού Ταχυδρομείου(Privacy Enhached Mail-PEM) Αρχές του ΡΕΜ Παραγωγή ΡΕΜ Μηνυμάτων Βήματα Επεξεργασίας Μηχανισμός Ενθυλάκωσης Ενθυλακωμένες Επικεφαλίδες Ταχυδρομικές Λίστες Υποστηριζόμενοι Αλγόριθμοι Το Πρωτόκολλο PGP ΚΕΦΑΛΑΙΟ 12 ο Ασφάλεια Εφαρμογών Ηλεκτρονικών Πληρωμών

10 12.1 Οι Κίνδυνοι στα Συστήματα Ηλεκτρονικών Πληρωμών Υπηρεσίες Ασφαλείας Πληρωμών Ασφάλεια Συναλλαγών Πληρωμής Ασφάλεια Ψηφιακού Χρήματος Κατηγορίες Ψηφιακού Χρήματος Επαναχρησιμοποίηση ή Διπλό Ξόδεμα του Ψηφιακού Χρήματος Διαθέσιμα Συστήματα Ηλεκτρονικών Πληρωμών ΜΕΡΟΣ 3 ο Τρόποι Περιορισμού της Χρήσης των Προσωπικών Στοιχείων στο Διαδίκτυο ΚΕΦΑΛΑΙΟ 13 Ο 13.1 Τάσεις Επιθέσεων στο Διαδίκτυο Απειλές στο Web και Τρόποι Αντιμετώπισής τους Ο Δρόμος για την online Ασφάλεια Ανωνυμία στο Διαδίκτυο Proxy και Proxy Chains Mixnets και Mixnet Reply Blocks R ers Ανώνυμο Web Surfing Τεχνικές Προστασίας σε Περιπτώσεις Δημοσίευσης των Προσωπικών Δεδομένων Μέτρα για την Ασφάλεια του Ηλεκτρονικού Υπολογιστή ΚΕΦΑΛΑΙΟ 14 ο Συνήθειες και Χρήση του Διαδικτύου από τους Νέους Στατιστικά Στοιχεία Χρήσης του Διαδικτύου στην Ελλάδα Τα κίνητρα των ηλεκτρονικών εγκληματιών Έλλειψη Προφύλαξης των Προσωπικών Δεδομένων των Ανηλίκων Η Νομοθεσία από την Ε.Ε. για Ασφαλή Πλοήγηση των Νέων Οδηγίες για Ασφαλές Σερφάρισμα ΒΙΒΛΙΟΓΡΑΦΙΑ

11 Σχήματα Σχήμα 3-1: Τυπική Συναλλαγή Πληρωμής...45 Σχήμα 4-1: Τοποθέτηση ενός φίλτρου πακέτων μεταξύ ενός ιδιωτικού δικτύου και του διαδικτύου...61 Σχήμα 4-2: Τοποθέτηση μιας πύλης εφαρμογών μεταξύ ενός ιδιωτικού δικτύου και του διαδικτύου...63 Σχήμα 4-3: Ένα διπλοσυνδεδεμένο firewall...66 Σχήμα 4-4: Ένας σχηματισμός firewall υπολογιστή διαλογής...67 Σχήμα 4-5: Ένας σχηματισμός firewall υποδικτύου διαλογής...68 Σχήμα 5-1: Εξυπηρετητής τοποθετημένος μέσα από το firewall...80 Σχήμα 5-2 : Εξυπηρετητής τοποθετημένος έξω από το firewall...81 Σχήμα 5-3 : Πρόσβαση του εξυπηρετητή με τον έξω κόσμο...82 Σχήμα 7-1: Αμφίδρομη πιστοποίηση αυθεντικότητας χρησιμοποιώντας ένα πρωτόκολλο πρόκλησης- απόκρισης Σχήμα 7-2: Το πρωτόκολλο ανταλλαγής κλειδιού Diffie-Hellman Σχήμα 7-3: Η επίθεση bucket brigade Σχήμα 7-4: Πιστοποίηση αυθεντικότητας με τη χρήση του κέντρου διανομής κλειδιών Σχήμα 7-5: Πιστοποίηση αυθεντικότητας με χρήση κρυπτογραφίας δημοσίου κλειδιού Σχήμα 8-1: Ψηφιακές Υπογραφές χωρίς μυστικότητα Σχήμα 8-2: Ψηφιακές Υπογραφές με μυστικότητα Σχήμα 9-1: Δέντρο Πιστοποίησης

12 Σχήμα 9-2 : Διαπιστοποίηση Σχήμα 9-3: Επίπεδο Μοντέλο Εμπιστοσύνης Σχήμα 9-4 : Ιεραρχικό Μοντέλο Εμπιστοσύνης Σχήμα 10-1: Αρχιτεκτονική Τοποθέτηση του SSL Σχήμα 10-2: Λειτουργία του SSL Record Protocol Πίνακες Πίνακας 1.1: Μοντέλο Ασφαλείας...24 Πίνακας 2.1: Νομοθετικές Ρυθμίσεις...37 Πίνακας 9.1: Οργανισμοί Πιστοποίησης Πίνακας 9.2: Πεδία του πιστοποιητικού X Πίνακας 11.1: Αντιστοιχίες ΡΕΜ μηνυμάτων Πίνακας 13.1 : Aπειλές στο διαδίκτυο Πίνακας 14.1: Σταθμοί χρήσης του διαδικτύου Πίνακας 14.2: Μέσα ενημέρωσης για θέματα ασφαλείας

13 ΕΙΣΑΓΩΓΗ Το Διαδίκτυο, όχι πολλά χρόνια πριν, αποτελούσε ένα κατά πολύ μικρότερο «μέρος» συγκριτικά με σήμερα. Οι κόμβοι του ήταν διεσπαρμένοι σε μερικά ακαδημαϊκά ιδρύματα, ερευνητικά εργαστήρια και εταιρείες. Οι χρήστες του περιλάμβαναν φοιτητές, ερευνητές και γενικότερα ανθρώπους που ασχολούνταν κατά τον έναν ή τον άλλο τρόπο με την τεχνολογία και τις επιστήμες. Η υποδομή του, το διάσημο ζεύγος πρωτοκόλλων TCP/IP, είχε σχεδιαστεί για να λειτουργεί απλά και αποτελεσματικά, χωρίς να περιλαμβάνει ιδιαίτερους μηχανισμούς ή «δικλίδες». Όμως κατά την πάροδο των χρόνων υπήρχε τεράστια ανάπτυξη του διαδικτύου που οδηγεί καθημερινά στην μετατροπή των δεδομένων του φυσικού κόσμου σε ψηφιακή - ηλεκτρονική μορφή. Καθώς σχεδόν οποιαδήποτε υπηρεσία ή οργανισμός, ιδρύματα, εταιρείες και ιδιώτες χρησιμοποιούν υπολογιστές με πρόσβαση στο διαδίκτυο τις περισσότερες φορές για την διαχείριση των δεδομένων τους, η αξία της πληροφορίας που συγκεντρώνεται στο διαδίκτυο αποκτά τεράστιες διαστάσεις και γίνεται ένα θέμα που ολοένα και περισσότερο συζητιέται. Σε πολλές περιπτώσεις μάλιστα, ολόκληρη η πληροφορία είναι αποθηκευμένη σε ψηφιακά μέσα, χωρίς να υπάρχει σε έντυπη ή αναλογική μορφή. Η εξάρτηση μας στα συστήματα αυτά, και το γεγονός ότι η λειτουργικότητα και η φιλικότητα των υπολογιστικών συστημάτων έχουν αυξηθεί σημαντικά, οδηγούν σε μια ενισχυμένη πολυπλοκότητα των συστημάτων αυτών. Η πολυπλοκότητα αυτή οδηγεί σε μια πληθώρα αδυναμιών και προβλημάτων στην ασφάλεια των συστημάτων και των δεδομένων, είτε από προγραμματιστικά λάθη, είτε από κακές ρυθμίσεις, είτε από τις σχέσεις εμπιστοσύνης που δημιουργούνται, είτε από άλλους λόγους. Ο πληθυσμός του Internet αν και έχει ακουστά πολλές περιπτώσεις παραβίασης της ασφάλειας συστημάτων και κλοπής δεδομένων, δεν έχει δεχτεί μια ολοκληρωμένη εκπαίδευση σε θέματα που αφορούν την δικτυακή ασφάλεια. Οι περισσότεροι χρήστες βρίσκονται σε σύγχυση όσον αφορά την ασφάλεια των δεδομένων τους, μην γνωρίζοντας τους κινδύνους και τις απειλές που αντιμετωπίζουν, ενώ οι εταιρείες παροχής υπηρεσιών -είτε πρόκειται για , είτε για υποβολή φορολογικών δηλώσεων και web banking- εθίζουν τους χρήστες σε πρακτικές χαμηλής ασφάλειας και παρέχουν μια αίσθηση ότι ασχολούνται αποτελεσματικά με την ασφάλεια των δεδομένων τους. Οι χρήστες παραβιασμένων συστημάτων αντιμετωπίζουν πολύ σοβαρούς κινδύνους, χωρίς να το γνωρίζουν τις περισσότερες φορές. Ένας επιτιθέμενος μπορεί να παρακολουθεί ότι πληκτρολογείτε στον υπολογιστή για να μάθει αριθμούς πιστωτικών καρτών και κωδικούς, να χρησιμοποιήσει το σύστημα για τη διακίνηση πορνογραφικού υλικού, να αποσπάσει ευαίσθητα δεδομένα, ακόμα και να πραγματοποιήσει επιθέσεις σε άλλα συστήματα μέσω αυτού, ώστε να σβήσουν τα ίχνη του. Οι επιθέσεις στο διαδίκτυο αυξάνονται συνεχώς και η προσπάθεια για τον περιορισμό τους οδήγησε στην ανάγκη απόκτησης εξειδικευμένης γνώσης για τα γεγονότα που διαδραματίζονται σε ένα δίκτυο. Αν και οι μέθοδοι και τα εργαλεία για την προστασία των συστημάτων βελτιώνονται συνεχώς, ο αριθμός των επιτυχημένων επιθέσεων συνεχώς αυξάνει. Σε αυτό μεγάλο ρόλο παίζει η πολυπλοκότητα των συστημάτων αλλά και ο αυξανόμενος αριθμός των διαθέσιμων από το διαδίκτυο πόρων. Καθημερινά ανακοινώνονται καινούργιες αδυναμίες στο λογισμικό και νέοι τρόποι επίθεσης. Με δεδομένη την εξέλιξη αυτή, τα κλασσικά μέτρα ασφάλειας δεν φαίνεται να επαρκούν για την προστασία των συστημάτων και των πληροφοριών που αυτά περιέχουν και συνεχώς γίνεται προσπάθεια για ανάπτυξη νέων μηχανισμών ασφάλειας, που θα παρέχουν την επιθυμητή προστασία από δικτυακές επιθέσεις. Όλες αυτές οι απειλές είναι σημαντικοί λόγοι για να αυξηθεί η ασφάλεια στο διαδίκτυο και μεταξύ των χρηστών του. Αυτό περιλαμβάνει τη βελτίωση της ασφάλειας των συστημάτων που συνδέονται με το διαδίκτυο και την ενημέρωση και εκπαίδευση των χρηστών για τις απειλές. 12

14 Αν και υπάρχει πολλή πληροφορία στο διαδίκτυο για την ασφάλεια δικτύων και συστημάτων, πολλές φορές δεν μπορεί να κατανοηθεί από χρήστες με λίγες γνώσεις. Άλλες φορές η πληροφορία δεν είναι συγκεκριμένη, δεν προχωράει σε μεγάλα επίπεδα λεπτομέρειας και καταλήγει ελλιπής. Επίσης τα τελευταία χρόνια, σημαντικές είναι και οι αναφορές προβλημάτων γύρω από εμπορικές συναλλαγές που αφορούν ένα νέο είδος εμπορίου.αυτή η νέα μορφή εμπορίου, το ηλεκτρονικό εμπόριο (electronic commerce) έχει κάνει δυναμική εμφάνιση και διεκδικεί σημαντικό μερίδιο από το παραδοσιακό εμπόριο. Κάθε εμπορική δραστηριότητα που πριν από μερικά χρόνια ήταν δυνατή, μόνο χάρη στη φυσική παρουσία και μεσολάβηση ανθρώπων ή υλικών μέσων (π.χ. εμπορική αλληλογραφία), σήμερα μπορεί να επιτευχθεί αυτόματα, ηλεκτρονικά και εξ αποστάσεως. Η ανάπτυξή του ηλεκτρονικού εμπορίου οφείλεται ακριβώς στο γεγονός ότι προσφέρει τη δυνατότητα να πραγματοποιούνται κάθε είδους συναλλαγές, συμπεριλαμβανομένων της πώλησης αγαθών και υπηρεσιών, μέσα από ηλεκτρονικά μέσα με μεγάλη ταχύτητα και μικρό κόστος. Στις μέρες μας, το ηλεκτρονικό εμπόριο αποτελεί αναπόσπαστο κομμάτι του παγκοσμίου εμπορίου. Για πολλούς θεωρείται ίσως η δεύτερη μεγαλύτερη τεχνολογική εξέλιξη μετά τη βιομηχανική επανάσταση, καθώς εξοικονομεί χρόνο και χρήμα και μπορεί να μεταμορφώσει μια μικρή εταιρεία ακόμα και σε κολοσσό. Αυτή τη στιγμή περισσότεροι από άνθρωποι σε όλο τον κόσμο δραστηριοποιούνται στο ηλεκτρονικό εμπόριο και σε πολύ λίγα χρόνια ο αριθμός αυτός αναμένεται να αυξηθεί ραγδαία. Ο όρος ηλεκτρονικό εμπόριο καλύπτει οποιαδήποτε μορφή επιχειρηματικής δραστηριότητας, εμπορικής συναλλαγής ή ανταλλαγής πληροφοριών η οποία διεξάγεται χρησιμοποιώντας κάθε μορφής Τεχνολογία Πληροφορικής ή Επικοινωνιών. Ο ορισμός αυτός ενσωματώνει όχι μόνο συναλλαγές που λαμβάνουν χώρα μέσω του Διαδικτύου, αλλά μια ευρεία γκάμα δυνατοτήτων συναλλαγής, όπως για παράδειγμα μέσω κινητών τηλεφώνων ή πρωτοκόλλων διακίνησης δεδομένων που επιτρέπουν την Ηλεκτρονική Ανταλλαγή Δεδομένων (Electronic Data Interchange, EDI). Η Ηλεκτρονική Ανταλλαγή Δεδομένων δημιουργήθηκε στις αρχές της δεκαετίας του 70 και είναι μια κοινή δομή αρχείων που σχεδιάστηκε ώστε να επιτρέπει σε μεγάλους οργανισμούς να μεταδίδουν πληροφορίες μέσα από μεγάλα ιδιωτικά δίκτυα. Αν και ο παραπάνω ορισμός για το ηλεκτρονικό εμπόριο, καλύπτει ένα ευρύ φάσμα συναλλαγών, συνήθως χρησιμοποιείται για τις αγοραπωλησίες που πραγματοποιούνται διαμέσου του Διαδικτύου. Για τις υπόλοιπες δραστηριότητες χρησιμοποιείται, τα τελευταία χρόνια, ο όρος ηλεκτρονικό επιχειρείν (electronic business). Η έννοια του ηλεκτρονικού επιχειρείν καλύπτει και άλλες επιχειρηματικές δραστηριότητες όπως την ενδοεπιχειρησιακή επικοινωνία και τη συνεργασία σε επίπεδο επιχειρήσεων. Οι επιχειρήσεις, στην προσπάθεια διατήρησης σημαντικής θέσης στην αγορά ή απόκτησης ανταγωνιστικού πλεονεκτήματος μέσω καινοτόμων διαδικασιών μείωσης κόστους και βελτίωσης της εξυπηρέτησης των πελατών, ολοένα και περισσότερο στρέφονται στο ηλεκτρονικό εμπόριο. Ήδη, πλειάδα επιχειρήσεων, τόσο στην Ευρώπη όσο και στην Αμερική, διαθέτουν τα προϊόντα τους μέσω του Διαδικτύου. Κορυφαίο παράδειγμα αυτής της εξέλιξης αποτελεί το Amazon.com, το οποίο είναι αυτή τη στιγμή το μεγαλύτερο ηλεκτρονικό βιβλιοπωλείο στον κόσμο. Στην Ελλάδα, αν και υπάρχει μια σχετική καθυστέρηση σε αυτό τον τομέα, οι εξελίξεις είναι σημαντικές και υπάρχουν ήδη αρκετές εταιρείες και επιχειρήσεις που δραστηριοποιούνται στο ηλεκτρονικό εμπόριο. Επιπλέον υπάρχουν ήδη στη χώρα μας και εταιρείες που προσφέρουν λύσεις ηλεκτρονικού εμπορίου σε επιχειρήσεις που έχουν ανοίξει ή θα ήθελαν να ανοίξουν κάποιο ηλεκτρονικό κατάστημα. Σε κάθε περίπτωση, ο κύριος λόγος που μια επιχείρηση δραστηριοποιείται σε ηλεκτρονικό επίπεδο είναι για να προσελκύσει αγοραστικό κοινό πέρα από τα στενά όρια της γεωγραφικής της έδρας, αυξάνοντας έτσι τις πωλήσεις των προϊόντων της. [9] Το ηλεκτρονικό εμπόριο εμφανίζεται με δύο τύπους δραστηριότητας και τρεις μορφές. Ως προς τους τύπους, το ηλεκτρονικό εμπόριο διακρίνεται ανάμεσα στο έμμεσο ηλεκτρονικό εμπόριο, όπου η παραγγελία των προϊόντων γίνεται μέσω Η/Υ, τα οποία στη συνέχεια παραδίδονται στον 13

15 πελάτη με φυσικό τρόπο χρησιμοποιώντας μεταφορικά και ταχυδρομικά μέσα, και το άμεσο ηλεκτρονικό εμπόριο, όπου η παραγγελία, πώληση αλλά και παράδοση προϊόντων και υπηρεσιών γίνεται ηλεκτρονικά (π.χ. πώληση προγραμμάτων λογισμικού, παροχή πληροφόρησης κ.α.). Από την άλλη πλευρά οι πιο συνηθισμένες μορφές ηλεκτρονικού εμπορίου ανάλογα με τα μέρη που εμπλέκονται σε μια ηλεκτρονική συναλλαγή αφορούν: Επιχείρηση προς Καταναλωτή (Business to Consumer, B2C) Είναι ίσως η πιο κλασσική μορφή ηλεκτρονικού εμπορίου, όχι όμως και η πιο διαδεδομένη. Αποτελεί το ηλεκτρονικό ανάλογο των καθημερινών συναλλαγών για αγορά προϊόντων ή χρήση υπηρεσιών. Η επιχείρηση-προμηθευτής διατηρεί έναν διαδικτυακό τόπο (site) στον οποίο παρουσιάζει τα προϊόντα της ή/και τις υπηρεσίες της. Ο τόπος αυτός καλείται ηλεκτρονικό κατάστημα ή και e-shop. Το ηλεκτρονικό κατάστημα αποτελείται από ιστοσελίδες που παρουσιάζουν τα προϊόντα ή τις υπηρεσίες του καταστήματος. Ο χρήστης-επισκέπτης και πιθανός καταναλωτής μπορεί να περιηγηθεί στις ιστοσελίδες του καταστήματος, να δει τα παρουσιαζόμενα προϊόντα, να επιλέξει τις αγορές του και στο τέλος να προχωρήσει στη διαδικασία πληρωμής και τελικής προμήθειας του προϊόντος. Η πληρωμή γίνεται συνήθως μέσω πιστωτικών καρτών, ενώ η παράδοση της παραγγελίας γίνεται είτε μέσω ταχυδρομείου είτε, σε περιπτώσεις που η παραγγελία αφορά ηλεκτρονικό υλικό, υπάρχει η δυνατότητα ηλεκτρονικής παραλαβής. Το ηλεκτρονικό εμπόριο έχει γνωρίσει αρκετή διάδοση στον τομέα του λιανικού εμπορίου. Χαρακτηριστικά τέτοια παραδείγματα είναι η πώληση βιβλίων, CD, πακέτων λογισμικού αλλά οι κλάδοι δραστηριοτήτων των εταιρειών ηλεκτρονικού εμπορίου δεν σταματούν εδώ. Στο διαδίκτυο υπάρχουν ακόμα και super-market που δίνουν τη δυνατότητα πραγματοποίησης on-line αγορών. Σε ότι αφορά τις υπηρεσίες εδώ εντάσσονται οι δυνατότητες home-banking, δηλαδή πραγματοποίηση τραπεζικών συναλλαγών με τη χρήση υπολογιστή (πληρωμή λογαριασμών, δάνεια), κράτηση εισιτηρίων, δωματίων κλπ. Σημειώνεται ότι σχεδόν όλες οι μεγάλες αεροπορικές εταιρείες παρέχουν τη δυνατότητα κράτησης θέσεων από τον δικτυακό τους τόπο. Συγκεκριμένα η εταιρεία EasyJet κάνει πάνω από το 75% των κρατήσεων της on-line. Επιχείρηση προς Επιχείρηση (Business to Business, B2B) Αυτή η μορφή ηλεκτρονικού εμπορίου περιλαμβάνει τη συνδιαλλαγή μεταξύ επιχειρήσεων. Πρόκειται για τον δυναμικότερο και ταχύτερα αναπτυσσόμενο κλάδο του ηλεκτρονικού εμπορίου. Οι συναλλαγές Επιχείρησης-προς-Επιχείρηση, περιλαμβάνουν τις καθιερωμένες συναλλαγές της επιχείρησης με τους προμηθευτές αλλά με πραγματοποίηση των προμηθειών με ηλεκτρονικό τρόπο. Το ηλεκτρονικό εμπόριο επιτρέπει στις επιχειρήσεις να βελτιώσουν τη μεταξύ τους συνεργασία, απλοποιώντας τις διαδικασίες των προμηθειών, το κόστος, την ταχύτερη αποστολή τους και τον αποτελεσματικότερο έλεγχο του επιπέδου αποθεμάτων. Επίσης κάνει ευκολότερη την αρχειοθέτηση των σχετικών εγγράφων και την παροχή καλύτερης εξυπηρέτησης σε πελάτες. Η διαχείριση των επαφών με εταίρους (διανομείς, μεταπωλητές, μετόχους) της επιχείρησης γίνεται πολύ πιο αποτελεσματική. Κάθε αλλαγή μπορεί να ανακοινώνεται μέσα από μια ιστοσελίδα και το ηλεκτρονικό ταχυδρομείο, εκμηδενίζοντας την ανάγκη για ομαδικές επιστολές και άλλες δαπανηρές μορφές ειδοποίησης. Η δυνατότητα ηλεκτρονικής σύνδεσης με προμηθευτές και διανομείς, και η πραγματοποίηση ηλεκτρονικών πληρωμών, βελτιώνουν ακόμη περισσότερο την αποτελεσματικότητα: οι ηλεκτρονικές πληρωμές περιορίζουν το ανθρώπινο λάθος, αυξάνουν την ταχύτητα και μειώνουν το κόστος των συναλλαγών. 14

16 Δημόσιοι Φορείς προς το Κοινό Αυτή η μορφή ηλεκτρονικού εμπορίου περιλαμβάνει τη δυνατότητα πληροφόρησης, ανταλλαγής πληροφοριών και διεκπεραίωσης λειτουργιών μεταξύ των δημόσιων φορέων και των πολιτών. Οι πολίτες (επιχειρηματίες ή μη) χρησιμοποιούν το Διαδίκτυο για να πληροφορηθούν και να φέρουν σε πέρας γραφειοκρατικές διαδικασίες. Αυτή η μορφή ηλεκτρονικού εμπορίου περιλαμβάνει κυρίως δύο πλαίσια δραστηριοτήτων: 1. Παροχή δυνατότητας στις επιχειρήσεις για διεκπεραίωση των συναλλαγών τους με το κράτος, με ηλεκτρονικό τρόπο. 2. Παροχή δυνατότητας στους πολίτες για διεκπεραίωση των υποθέσεων τους με δημόσιες υπηρεσίες, με ηλεκτρονικό τρόπο. Αυτή η μορφή ηλεκτρονικού εμπορίου αναμένεται να γνωρίσει έκρηξη τα επόμενα χρόνια καθώς ολοένα και περισσότερες υπηρεσίες πληροφόρησης και ενημέρωσης παρέχονται από κρατικούς φορείς μέσω Διαδικτύου. Συγκεκριμένα αναμένεται να αναπτυχθούν ηλεκτρονικές συναλλαγές για τις πληρωμές κοινωνικής πρόνοιας και ιδιωτικών φόρων. Στα πλαίσια μιας παγκόσμιας κινητοποίησης κυβερνητικών και μη οργανισμών για την ασφαλή χρήση του Διαδικτύου και κυρίως για την προστασία των παιδιών, το Ευρωπαϊκό Κοινοβούλιο (Απόφαση αριθ. 276/1999/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Ιανουαρίου 1999) προχωρεί στην υλοποίηση μιας ευρωπαϊκής εκστρατείας και ενός προγράμματος δράσης πληροφόρησης και συνειδητοποίησης, με χρηματοδότηση από τον προϋπολογισμό της Ευρωπαϊκής Ένωσης, για να πληροφορηθούν οι γονείς και όλοι όσοι ασχολούνται με παιδιά (δάσκαλοι, κοινωνικοί λειτουργοί κ.λπ.) για τον καλύτερο τρόπο (περιλαμβανομένων των τεχνικών ζητημάτων) προστασίας των ανηλίκων από την έκθεση σε περιεχόμενο που θα μπορούσε να είναι βλαβερό για την ανάπτυξή τους, έτσι ώστε να εξασφαλιστεί η ευημερία τους. Σε μια προσπάθεια προστασίας της προσωπικής ζωής, της μάθησης, του παιχνιδιού, των ηλεκτρονικών μας δεδομένων και στα πλαίσια μιας ασφαλούς πλοήγησης στο Διαδίκτυο συνοψίζουμε κάποια βασικά σημεία τα οποία θα πρέπει να λαμβάνουν υπόψη τους τόσο οι αρχάριοι όσο και οι προχωρημένοι χρήστες του. Μελέτες αναδεικνύουν ότι η πραγματοποίηση ηλεκτρονικών συναλλαγών µέσω του Διαδικτύου σε πολλές περιπτώσεις αναστέλλεται λόγω ζητημάτων ασφάλειας. Η ανασφάλεια και η αβεβαιότητα των χρηστών σχετικά με την εκτέλεση ηλεκτρονικών συναλλαγών, αποτελούν ίσως τους σημαντικότερους περιοριστικούς λόγους εξάπλωσης του ηλεκτρονικού εμπορίου. Οι χρήστες προκειμένου να πραγματοποιήσουν τις αγορές τους στο διαδίκτυο, πρέπει να είναι σίγουροι ότι τα προσωπικά τους δεδομένα προστατεύονται κατάλληλα και ότι δεν πρόκειται να πέσουν θύματα απάτης. Ο χρήστης που κάνει μια αγορά σε πραγματικό χρόνο (on-line) πρέπει να είναι σίγουρος ότι ο αριθμός της πιστωτικής του κάρτας δε θα υποκλαπεί. Κάθε φορά που συνδιαλέγεται δικτυακά με την τράπεζα του (e-banking) θέλει να γνωρίζει ότι όντως έρχεται σε επαφή με την ίδια την τράπεζα και όχι με κάποιον που επιχειρεί να τον εξαπατήσει. Όταν αποστέλλει στο διαδίκτυο ευαίσθητα δεδομένα, θέλει να ξέρει ότι δεν θα έχει πρόσβαση σε αυτά κανείς άλλος εκτός από τον πραγματικό παραλήπτη τους. Συνήθεις απαιτήσεις ασφάλειας των χρηστών σε περιβάλλον ηλεκτρονικών δοσοληψιών είναι: η εμπιστευτικότητα (confidentiality) όπου μία επίθεση προκαλεί την παραβίαση της εμπιστευτικότητας, όταν ο επιτιθέμενος αποκτά πρόσβαση σε πληροφορίες για τις οποίες δεν είναι εξουσιοδοτημένος από τον κάτοχό τους και η ακεραιότητα (integrity) όπου μία επίθεση προκαλεί παραβίαση της ακεραιότητας, όταν επιτρέψει στον (μη εξουσιοδοτημένο) επιτιθέμενο να αλλάξει την κατάσταση του συστήματος ή οποιασδήποτε πληροφορίας βρίσκεται σε αυτό, η αυθεντικοποίηση (authentication) του αποστολέα, η µη-αποποίηση (nonrepudiation) αποστολής και λήψης μηνύματος, η διαθεσιμότητα (availability) όπου μια επίθεση προκαλεί την παραβίαση της διαθεσιμότητας, όταν μέσω αυτής δεν επιτρέπεται στους εξουσιοδοτημένους χρήστες να έχουν πρόσβαση σε συγκεκριμένους πόρους του συστήματος όταν, όποτε και με τον τρόπο που έχουν 15

17 εξουσιοδοτηθεί και η χρονοσήµανση (timestamping) αποστολής ή λήψης ενός μηνύματος. Σημαντική συνεισφορά στην ικανοποίηση των απαιτήσεων αυτών έχουν εφαρμογές της επιστήμης της Κρυπτογραφίας. Για παράδειγμα, οι ψηφιακές υπογραφές (digital signatures) είναι αυτές που χρησιμοποιούνται για να επαληθεύσουν το φορέα αποστολής δεδομένων, και να διασφαλίσουν τη µη τροποποίηση και µη αποποίηση ενός μηνύματος. Η κρυπτογράφηση και αποκρυπτογράφηση (encryption/decryption) αξιοποιούνται για τη διατήρηση της εμπιστευτικότητας των δεδομένων της επικοινωνίας. Μία επίθεση προκαλεί την παραβίαση των μηχανισμών ασφάλειας, όταν μέσω αυτής, ο (μη εξουσιοδοτημένος) επιτιθέμενος αποκτά πρόσβαση στους μηχανισμούς ελέγχου της πρόσβασης του συστήματος. Η παραβίαση μπορεί να οδηγήσει σε παραβίαση της Εμπιστευτικότητας, Ακεραιότητας ή της Διαθεσιμότητας. Όμως πια είναι τα βασικά κίνητρα τέτοιων επιθέσεων ; Οι λόγοι που οδηγούν κάποια άτομα να εκτελούν επιθέσεις βασίζονται σε κίνητρα που διαφέρουν για τον καθένα και έχουν να κάνουν τόσο με την προσωπικότητα του κάθε επιτιθέμενου, όσο και με το κέρδος που προκύπτει από αυτές τις ενέργειες. Οι πιο συνήθης λόγοι είναι οι παρακάτω: Οικονομικά Κίνητρα. Υπάρχουν εταιρίες που στα πλαίσια του ανταγωνισμού με τους αντίπαλούς τους, προσλαμβάνουν επαγγελματίες crackers με σκοπό να εισβάλουν στα συστήματα του ανταγωνιστή και να κατασκοπεύσουν τα σχέδιά του, ή ακόμα και να του προκαλέσουν προβλήματα και καταστροφές. Επίσης υπάρχουν άτομα μεμονωμένα ή και ομάδες που εισβάλλουν σε δίκτυα για να βρουν πιστωτικές κάρτες, τραπεζικούς λογαριασμούς και άλλα ευαίσθητα στοιχεία από τα οποία θα βγάλουν κέρδος. Τελευταία στο internet εμφανίστηκε ο όρος "identify theft", δηλαδή κλοπή ταυτότητας. Σε μια επίθεση τέτοιου τύπου ο επιτιθέμενος καταφέρνει να πείσει ότι είναι το πρόσωπο που προσποιείται και να εκμεταλλευτεί αυτό το γεγονός. Από κακία ή εκδίκηση. Σε αυτήν την περίπτωση ο επιτιθέμενος θέλει να προκαλέσει ζημιά στο στόχο του, συνήθως παίρνοντας με αυτόν τον τρόπο εκδίκηση για κάποιο γεγονός που συνέβη στο παρελθόν και για το οποίο νιώθει ότι αδικήθηκε. Ένα τέτοιο παράδειγμα θα μπορούσε να είναι ένας υπάλληλος μίας εταιρίας που απολύθηκε και θέλει να πάρει εκδίκηση. Για το γόητρο. Διεισδύοντας σε δίκτυα που φημίζονται για την ασφάλειας τους προσπαθούν να εντυπωσιάσουν και να διευρύνουν την φήμη τους. Κάτι τέτοιο θα μπορούσε να τους βοηθήσει και στην μετέπειτα επαγγελματική τους καριέρα-από blackhats σε ethical hackers. Από περιέργεια ή χόμπι. Είναι αρκετοί που πραγματοποιούν τέτοιου είδους ενέργειες γιατί διακατέχονται από αυξημένη περιέργεια, είτε επειδή θέλουν να μάθουν πως λειτουργούν τα συστήματα και τα δίκτυα και είναι ένας πρακτικός τρόπος για να το καταφέρουν. Σε μερικές περιπτώσεις τέτοια άτομα προκαλούν ζημιά χωρίς απαραίτητα να το επιδιώκουν. Για πολιτικούς λόγους. Τέτοιου είδους δραστηριότητα έχει στόχο κυρίως κυβερνητικούς οργανισμούς, και έχει να κάνει με ιδεολογικά κίνητρα, που οδηγούν σε εκδηλώσεις διαμαρτυρίας ή σε ενέργειες με στόχο να αποκαλύψουν στην κοινωνία περιπτώσεις διαφθοράς. Παρόλο που η διείσδυση του διαδικτύου στη χώρα μας είναι από τις χαμηλότερες στην Ε.Ε., οι συνέπειες της επιταχυνόμενης εφαρμογής του εμφανίζονται ήδη σε πολλά επίπεδα: o στις εμπορικές συναλλαγές και τις επιχειρηματικές δραστηριότητες o στην εκπαίδευση o στην εργασία o στη διασκέδασή o στις προσωπικές και οικογενειακές σχέσεις 16

18 Οι έφηβοι, βασική ομάδα χρηστών, μεταφορτώνουν μουσική και ταινίες, ανταλλάσσουν άμεσα μηνύματα, συμμετέχουν σε δωμάτια ομαδικής συνομιλίας, παίζουν διαδικτυακά παιχνίδια. Πολλές φορές ξεπερνούν τα όρια, και αναζητούν σελίδες με ερωτικό ή εξαιρετικά βίαιο περιεχόμενο, ενώ μπορεί να παρεκτραπούν κατά τη συνομιλία τους με ξένους. Είναι ανοιχτοί σε νέες εμπειρίες, τους αρέσει να εξερευνούν νέες δυνατότητες, αλλά δυστυχώς δεν έχουν τα εφόδια για να κρίνουν όλα τα ερεθίσματα, αλλά ούτε και την αίσθηση του κινδύνου. Είναι σημαντικό να υιοθετηθούν σαφή μέτρα και στρατηγικές για την εξάπλωση της χρήσης του διαδικτύου, καθώς αποτελεί έναν πολύτιμο, συνεχώς εξελισσόμενο, τόπο άντλησης πληροφοριών. Έναν τρόπο άμεσης ανταλλαγής πληροφοριών. Οι δυνατότητές του, αδιερεύνητες ακόμη στο σύνολό τους, φαντάζουν ανεξάντλητες. Η Ευρωπαϊκή Κοινότητα ενεργοποιήθηκε. O εορτασμός της Ημέρας Ασφαλούς Πλοήγησης, αποτελεί έναν τρόπο ευαισθητοποίησης της κοινής γνώμης απέναντι στο ζήτημα. Η Ελληνική Κυβέρνηση προχωρά στην προσαρμογή των αναγκαίων ρυθμίσεων στην εθνική νομοθεσία. Το Υπουργείο Παιδείας προωθεί την ενημέρωση για την ασφάλεια στο Διαδίκτυο ως κεντρικό σημείο της εκπαίδευσης στη χρήση των νέων τεχνολογιών. Σε κατασταλτικό επίπεδο λειτουργεί στην Ελληνική Αστυνομία το Τμήμα Καταπολέμησης Διαδικτυακού Εγκλήματος. Εντέλει είναι τελικά προσωπική υπόθεση του καθενός και της καθεμίας που χρησιμοποιεί το διαδίκτυο, να είναι σαφώς προσεκτικοί, να προστατεύουν τους εαυτούς τους αλλά και τα παιδιά τους από τους κινδύνους που κρύβονται στους άγνωστους δρόμους του διαδικτύου. Να γίνεται σωστή εκπαίδευση των παιδιών, θέτοντας όρους και δίνοντας σαφείς οδηγίες για τις ώρες που περνούν μόνα τους μπροστά στον υπολογιστή. Να ενημερωθούν οι ίδιοι οι ενήλικες χρήστες σωστότερα, να γνωρίσουν τις πιθανές παγίδες,έτσι ώστε με τον τρόπο αυτό να συμβάλλουν οι ίδιοι οι χρήστες στη δημιουργία των απαραίτητων συνθηκών ασφαλούς πλοήγησης. Το ανάλογο λογισμικό σαφώς και παρέχει μία ασπίδα προστασίας, αλλά η ανθρώπινη λογική είναι το ισχυρότερο όπλο απέναντι στις εξελίξεις της τεχνολογίας. Το θέμα είναι να ενημερωθούν όλοι για τους κινδύνους, και όχι να αποθαρρυνθούν από τη χρήση του διαδικτύου. Αυτό θα έχει ως αποτέλεσμα να γίνουν όλοι καλύτεροι χρήστες, και όχι τεχνοφοβικοί, και να μεγιστοποιήσουν τις δυνατότητες που τους παρέχονται, την αποτελεσματικότητα του εργαλείου που έχουν τη δυνατότητα να χρησιμοποιούν. Έτσι ώστε να εξερευνήσουν, αυτόν τον καινούριο κόσμο που διαμορφώνεται, εξελίσσεται και ενδυναμώνεται περισσότερο κάθε μέρα που περνάει.[4][9] 17

19 ΕΙΣΑΓΩΓΗ ΣΤΟΥΣ ΟΡΟΥΣ ΔΙΑΔΙΚΤΥΟ ΚΑΙ ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ Το Διαδίκτυο αποτελεί ένα συνεχώς διευρυνόμενο και οικουμενικό μέσο, στο οποίο οι χρήστες διασκεδάζουν, εκπαιδεύονται, πληροφορούνται και διεξάγουν τις όποιες οικονομικές ή επιχειρηματικές δραστηριότητές τους. Μάλιστα, πάρα πολλοί από τους χρήστες του Internet έχουν λίγες έως και ελάχιστες τεχνικές γνώσεις, χωρίς αυτό να τους εμποδίζει να το χρησιμοποιούν και να επωφελούνται από αυτό. Δυστυχώς όμως, το διαδίκτυο δεν είναι ασφαλές και αυτή η αλόγιστη και αφελής χρήση του οδηγεί τις περισσότερες φορές σε κάθε είδους ηλεκτρονικές απάτες, όπως είναι και η υποκλοπή των προσωπικών δεδομένων των χρηστών. Η ασφάλεια της επικοινωνίας μεταξύ δύο ή περισσότερων επικοινωνούντων μερών μπορεί να διακυβευτεί με ποικίλους τρόπους. Ασφαλής επικοινωνία μεταξύ δύο μερών νοείται κάθε μορφής επικοινωνία που γίνεται με χρήση ψηφιακής τεχνολογίας, και εξασφαλίζει την ακεραιότητα, εμπιστευτικότητα και διαθεσιμότητα των πληροφοριών που διακινούνται μέσω ενός τηλεπικοινωνιακού δικτύου. Ποια είναι, λοιπόν, τα αρνητικά ή έστω ανησυχητικά φαινόμενα που προκύπτουν από την εξάπλωση του Διαδικτύου;Και ποιου είδους ηλεκτρονικές απειλές ελοχεύονται μέσα στις διαδικτυακές δραστηριότητες των χρηστών. 18

20 Κεφάλαιο 1 Διαδίκτυο. Το Διαδίκτυο δεν αποτελεί μόνο πηγή πληροφόρησης, διασκέδασης ή εκπαίδευσης. Αποτελεί ένα εξαιρετικά πολύτιμο εργαλείο για το επιχειρείν. Το ηλεκτρονικό επιχειρείν (γνωστό και ως e-επιχειρείν) σημαίνει ακριβώς αυτό που υποδεικνύει ο όρος: ανάπτυξη επιχειρηματικών διαδικασιών και υπηρεσιών μέσω του Διαδικτύου. Μέσω του e-επιχειρείν δίνεται η δυνατότητα σε οποιαδήποτε επιχείρηση, οργανισμό, αλλά και σε οποιονδήποτε επαγγελματία να παρέχει τις υπηρεσίες του και να ικανοποιεί τις απαιτήσεις και επιθυμίες των πελατών του γρήγορα και απλά, μέσω του Διαδικτύου, όπως και να συναλλάσσεται με τους προμηθευτές και τους συνεργάτες του. Το e-επιχειρείν ενσωματώνει δραστηριότητες για το ηλεκτρονικό εμπόριο, το λεγόμενο e- commerce: Ιδιώτες και εταιρίες έχουν τη δυνατότητα να πραγματοποιούν αγορές προϊόντων από όλο τον κόσμο. Τα οφέλη είναι πολλαπλά: Εύκολη αναζήτηση και σύγκριση προσφερόμενων προϊόντων και τιμών εντός και εκτός των φυσικών συνόρων, μικρότερο κόστος αγοράς σε πολλές περιπτώσεις, δυνατότητα αγορών 24 ώρες το 24ωρο. Μέσα από το e-επιχειρείν αναδεικνύεται και το e-government, δηλαδή η ηλεκτρονική διακυβέρνηση: Ο κάθε πολίτης μπορεί να πραγματοποιεί συναλλαγές με το δημόσιο και τους οργανισμούς τοπικής αυτοδιοίκησης γρήγορα και αποτελεσματικά, αποφεύγοντας τη γραφειοκρατία και τις ουρές, με λίγα μόνο «κλικ» από τον υπολογιστή του. Το e-banking αποτελεί επίσης ένα ανεκτίμητο εργαλείο στα χέρια των χρηστών του Διαδικτύου. Μέσα από ειδικές ασφαλείς πλατφόρμες που οι περισσότερες έγκυρες τράπεζες παρέχουν σήμερα στου πελάτες τους, μπορούν να πραγματοποιηθούν άπειρες τραπεζικές συναλλαγές, που παλαιότερα απαιτούσαν την φυσική μας παρουσία στην τράπεζά μας. Επίσης, μέσω του e-banking πολλοί καθημερινοί μας λογαριασμοί (τηλεφώνου, ηλεκτρικού ρεύματος, ΕΥΔΑΠ, ασφάλειάς μας, κ.λπ.) μπορούν πια να πληρωθούν από εμάς και μάλιστα σε συγκεκριμένες ημερομηνίες, με μερικά κλικ. Και η λίστα των δυνατοτήτων διευρύνεται συνεχώς. Παρά τις καταπληκτικές δυνατότητες που διανοίγονται, στην Ελλάδα παρατηρείται μια διστακτικότητα στην αξιοποίηση των νέων εφαρμογών του Διαδικτύου. Σύμφωνα με έρευνα του Παρατηρητηρίου για την Κοινωνία της Πληροφορίας, που δημοσιεύτηκε στις 20 Μαρτίου 2007, το 37% των χρηστών του Διαδικτύου πιστεύει πως τα συστήματα πληρωμών δεν είναι αξιόπιστα, ενώ 6 στους 10 Έλληνες χρήστες ανησυχούν για τα προσωπικά τους δεδομένα. H τεράστια ανάπτυξη του διαδικτύου οδηγεί καθημερινά στην μετατροπή των δεδομένων του φυσικού κόσμου σε ψηφιακή - ηλεκτρονική μορφή. Καθώς σχεδόν οποιαδήποτε υπηρεσία ή οργανισμός, ιδρύματα, εταιρείες και ιδιώτες χρησιμοποιούν υπολογιστές με πρόσβαση στο διαδίκτυο τις περισσότερες φορές για την διαχείριση των δεδομένων τους, η αξία της πληροφορίας που συγκεντρώνεται στο διαδίκτυο αποκτά τεράστιες διαστάσεις και γίνεται ένα θέμα που ολοένα και περισσότερο συζητιέται. Σε πολλές περιπτώσεις μάλιστα, ολόκληρη η πληροφορία είναι αποθηκευμένη σε ψηφιακά μέσα, χωρίς να υπάρχει σε έντυπη ή αναλογική μορφή. Ο Παγκόσμιος Ιστός (World Wide Web) είναι μια από τις σημαντικότερες υπηρεσίες του Internet και προσφέρει στους χρήστες του τη δυνατότητα πρόσβασης στη μεγαλύτερη δεξαμενή πληροφοριών στον κόσμο. Πρόκειται για μια τεράστια συλλογή εγγράφων, τα οποία είναι αποθηκευμένα σε εκατομμύρια υπολογιστές στον κόσμο και η οποία εμπλουτίζεται συνεχώς από όλους τους χρήστες οι οποίοι αποφασίζουν να ανεβάσουν στο χώρο του τις σελίδες τους. Η πλοήγηση στις σελίδες του παγκοσμίου ιστού πραγματοποιείται μέσω ειδικών προγραμμάτων πλοήγησης -browsers- 19

21 (συνηθέστεροι ο Internet Explorer και ο Netscape Navigator) και απαιτεί ιδιαίτερη προσοχή από τον χρήστη, διότι εγκυμονεί πολλαπλούς κινδύνους, τόσο για την ασφάλεια του υπολογιστή του, όσο και για την ασφάλεια των προσωπικών του δεδομένων. Τα μέτρα τα οποία μπορεί να ληφθούν για να εξασφαλίσουν κατά το δυνατόν ασφαλή πλοήγηση στις σελίδες του παγκοσμίου ιστού εξαρτώνται α) από τις υπηρεσίες που μπορεί να προσφέρει ο παροχέας σύνδεσης (internet provider) και β) από τις ενέργειες που κάνει ο ίδιος ο χρήστης. 1.1 Η Έννοια του Διαδικτύου. Το Διαδίκτυο έχει ανοίξει νέους ορίζοντες, τόσο στη γνώση όσο και στην επικοινωνία. Είναι στο χέρι του καθενός να γνωρίσει τις θετικές πλευρές του Διαδικτύου και να προστατευθεί από τις αρνητικές πλευρές του. Η επικοινωνία δεδομένων έχει αναχθεί σε πρωταρχικής σημασίας κομμάτι της πληροφορικής. Δίκτυα εγκατεστημένα σε όλο το κόσμο, χρησιμοποιούνται για την συλλογή και διανομή δεδομένων πάνω σε ποικίλα θέματα. Από καιρό έχει κατανοηθεί η αναγκαιότητα διασύνδεσης όλων αυτών των επιμέρους δικτύων σε ένα ευρύτερο σύνολο, διευκολύνοντας και επιταχύνοντας την επικοινωνία. Οι προσπάθειες της κατασκευής αυτού του υπέρ δικτύου ήταν επιτυχημένες και το αποτέλεσμα ήταν αυτό που σήμερα ξέρουμε σαν Internet. Το Internet (ή Διαδίκτυο) παρουσιάζει μεγάλη αποδοχή, πράγμα που οδηγεί στην συνεχή εξέλιξη και αναδιαμόρφωση του. Ένα από τα μεγαλύτερα προβλήματα που έπρεπε να λυθούν ώστε το Διαδίκτυο να γίνει πραγματικότητα, ήταν η ύπαρξη πολλών τεχνολογιών δικτύων, καθεμιά από τις οποίες εξυπηρετεί μια συγκεκριμένη ομάδα ανθρώπων. Οι χρήστες του δικτύου διαλέγουν την τεχνολογία που είναι κατάλληλη για τις επικοινωνιακές τους ανάγκες. Η χρήση μίας και μόνο τεχνολογίας για την δημιουργία ενός παγκόσμιου δικτύου είναι αδύνατη, γιατί δεν υπάρχει τεχνολογία που να ικανοποιεί όλες τις απαιτήσεις. Για παράδειγμα, μερικοί χρήστες χρειάζονται δίκτυα υψηλών ταχυτήτων που καλύπτουν μικρές αποστάσεις. Για άλλους πάλι, πιο εξαπλωμένα δίκτυα, χαμηλών ταχυτήτων είναι πιο χρήσιμα. Το Διαδίκτυο, παρ' όλα αυτά, καταφέρνει να συνενώσει όλες αυτές τις διαφορετικές τεχνολογίες, παρέχοντας ένα σύνολο συμβάσεων. Κρύβει τις λεπτομέρειες της υποκείμενης δικτυακής τεχνολογίας και επιτρέπει σε υπολογιστές από όλο τον κόσμο να βρίσκονται σε επαφή ανεξάρτητα από το δίκτυο στο οποίο συνδέονται. Το Διαδίκτυο βασίζεται σε μια συλλογή από τυποποιήσεις που καλούνται πρωτόκολλα. Τα πρωτόκολλα (π.χ. TCP και IP) παρέχουν τους κανόνες για την επικοινωνία. Περιέχουν τις λεπτομέρειες των ανταλλασσόμενων μηνυμάτων, περιγράφουν πως ανταποκρίνεται ο υπολογιστής όταν λαμβάνει κάποιο μήνυμα και ορίζει πως διαχειρίζεται ο υπολογιστής της καταστάσεις λάθους. Κατά μία έννοια, τα πρωτόκολλα είναι για την επικοινωνία ότι είναι οι αλγόριθμοι για τον προγραμματισμό. Ένας αλγόριθμος επιτρέπει την κατανόηση της λογικής του προγράμματος, χωρίς να χρειάζεται να ξέρει την δομή και κατασκευή της CPU. Ομοίως, ένα πρωτόκολλο επιτρέπει στον χρήστη να καταλάβει τα δεδομένα μιας χωρίς να έχει γνώση του δικτυακού υλικού. 20

22 1.2 Αρχιτεκτονική του Διαδικτύου. Το Διαδίκτυο αποτελεί παράδειγμα συστήματος τύπου open system interconnection. Καλείται ανοιχτό σύστημα (open system), γιατί σε αντίθεση με προηγούμενα επικοινωνιακά συστήματα ανεπτυγμένα από ιδιωτικές εταιρίες, η περιγραφή του είναι δημόσια διαθέσιμη. Έτσι, οποιοσδήποτε μπορεί να γράψει λογισμικό που να συμβαδίζει με τις προδιαγραφές του συστήματος. Σαν τέτοιο σύστημα, το Διαδίκτυο μπορεί να συγκριθεί με το μοντέλο OSI (Open System Interconnection). Όμως η αρχιτεκτονική του Διαδικτύου έχει λιγότερα επίπεδα από αυτή του OSI και τα δεδομένα από το επίπεδο εφαρμογής (application) ως το επίπεδο φυσικής πρόσβασης (network access). Στο επίπεδο της φυσικής πρόσβασης (network access) ανήκουν τα πρωτόκολλα LAN όπως Ethernet, Token Ring, FDDI και πρωτόκολλα WAN όπως X.25, Frame Relay, SLIP, PPP που επιτρέπουν την φυσική διασύνδεση, την πρόσβαση στο μέσο και τον έλεγχο της ζεύξης. Στο επίπεδο δικτύου (network) χρησιμοποιείται το πρωτόκολλο IP, του οποίου τα πακέτα δρομολογούνται με ειδικές συσκευές, τους δρομολογητές (routers). Στο επίπεδο μεταφορά (transport) χρησιμοποιείται το πρωτόκολλο TCP και δευτερευόντως το UDP. Στο επίπεδο εφαρμογών (application) ανήκουν μεταξύ άλλων και τα πρωτόκολλα FTP, Telnet, SMTP, HTTP για την παροχή διάφορων υπηρεσιών όπως την μεταφορά αρχείων, την πρόσβαση σε υπολογιστές, ηλεκτρονικό ταχυδρομείο και το Web. 1.3 Τα Επίπεδα του Διαδικτύου. Ακολούθως θα αναφερθούμε πιο αναλυτικά στα επίπεδα φυσικής πρόσβασης, δικτύου, μεταφοράς και εφαρμογής Επίπεδο Φυσικής Πρόσβασης. Σε αυτό το επίπεδο ανήκουν οι εκάστοτε δικτυακές τεχνολογίες όπως Ethernet, FDDI και Token Ring. Το επίπεδο ασχολείται με την μετάδοση των bit μέσω διάφορων μέσων και αναλυτικότερα με τα ηλεκτρικά, μηχανικά και λειτουργικά χαρακτηριστικά των διασυνδέσεων. Επίσης ασχολείται με τον τρόπο που γίνεται η πρόσβαση στο φυσικό μέσον και καθορίζει τους κανόνες επικοινωνίας στο τοπικό δίκτυο. 21

23 1.3.2 Επίπεδο Δικτύου (IP πρωτόκολλο). Η μετάδοση στο IP (Internet Protocol) γίνεται με την τεχνική των datagrams. Το κάθε datagram (πακέτο) φθάνει στον παραλήπτη διασχίζοντας ένα η περισσότερα διασυνδεόμενα IP δίκτυα, χωρίς να εξαρτάται από άλλα προηγούμενα ή επόμενα πακέτα. Το IP, σαν πρωτόκολλο του τρίτου επιπέδου, δεν ασχολείται με τις φυσικές συνδέσεις ή τον έλεγχο των ενδιάμεσων ζεύξεων μεταξύ των κόμβων του δικτύου. Αυτά είναι αρμοδιότητα των χαμηλότερων επιπέδων. Στην ουσία ασχολείται με την διευθυνσιοδότητη, τον τεμαχισμό και την επανασυγκόληση των πακέτων. Το πρωτόκολλο IP δεν είναι αξιόπιστης μεταφοράς (reliable transfer) καθώς δεν εξασφαλίζει την σίγουρη παράδοση των πακέτων με τεχνικές επανεκπομπής και έλεγχο ροής. Επιπλέον είναι connectionless γιατί δεν απαιτεί την αποκατάσταση σύνδεσης μεταξύ των δύο σημείων πριν την ανταλλαγή δεδομένων. Τα IP πακέτα μπορεί να ακολουθήσουν διαφορετικές διαδρομές και να φθάσουν με λανθασμένη σειρά στον αποδέκτη. Προβλήματα σαν αυτό αναλαμβάνουν να διορθώσουν το πρωτόκολλο TCP του ανωτέρου επιπέδου. Δρομολόγηση Τα IP πακέτα διασχίζουν το Διαδίκτυο από δρομολογητή σε δρομολογητή με κατεύθυνση τον τελικό αποδέκτη. Κάθε δρομολογητής διατηρεί πίνακες δρομολόγησης βάσει των οποίων το κάθε πακέτο αποστέλλεται στον επόμενο δρομολογητή που θα αναλάβει να το προωθήσει προς τον αποδέκτη του. Ο καθορισμός του επόμενου δρομολογητή γίνεται με την ανάγνωση της IP διευθύνσεως του παραλήπτη. Ανάλογα με το δίκτυο στο οποίο βρίσκεται ο παραλήπτης, επιλέγεται από τον πίνακα δρομολόγησης διαδεχόμενος router. Όταν ένα πακέτο φθάσει σε ένα δρομολογητή αποθηκεύεται προσωρινά σε μία ουρά (queue). Τα IP πακέτα επεξεργάζονται με την σειρά άφιξης τους. Κατά την επεξεργασίας τους, διαβάζεται η διεύθυνση του τελικού παραλήπτη. Εάν υπάρχει μποτιλιάρισμα στο δίκτυο, τότε η ουρά των πακέτων μέσα στον δρομολογητή μπορεί να γίνει μεγάλη, αυξάνοντας έτσι τις καθυστερήσεις μετάδοσης. Σε περίπτωση που η ουρά γίνει τόσο μεγάλη που να ξεπερνά τις χωρητικές δυνατότητες του δρομολογητή, τα πακέτα απορρίπτονται και χάνονται. Διευθυνσιοδότηση Καθ' ότι το Διαδίκτυο είναι μια εικονική κατασκευή που εφαρμόζεται λογισμικά, οι σχεδιαστές του είναι ελεύθεροι να διαλέξουν σχήμα διευθυνσιοδότησης που να μην σχετίζεται με κανένα υπάρχον δικτυακό υλικό. Το IP λειτουργεί με βάσει ένα νέο σετ διευθύνσεων που είναι ανεξάρτητο από τις υποκείμενες δικτυακές διευθύνσεις των υπολογιστών. Οι νέες αυτές διευθύνσεις καλούνται Internet Addresses ή IP διευθύνσεις. Οι IP διευθύνσεις είναι φτιαγμένες έτσι ώστε να διευκολύνουν την δρομολόγηση. Κάθε IP πακέτο περιέχει την διεύθυνση του αποστολέα και του παραλήπτη, κάθε μια από τις οποίες έχει μήκος 32 bits. Μια IP διεύθυνση αποτελείται από δύο μέρη: το netid και το hostid. Το netid προσδιορίζει το δίκτυο στο οποίο βρίσκεται ο υπολογιστής, ενώ το hostid προσδιορίζει τον υπολογιστή. Ανάλογα με το μήκος της διευθύνσεως που αφιερώνεται σε κάθε τμήμα αυτής, οι διευθύνσεις διακρίνονται σε τρεις κλάσεις δικτύων: Κλάση Α: 8 bit διεύθυνση δικτύου / 24 bit διεύθυνση υπολογιστή Κλάση Β: 16 bit διεύθυνση δικτύου / 16 bit διεύθυνση υπολογιστή Κλάση Γ: 24 bit διεύθυνση δικτύου / 8 bit διεύθυνση υπολογιστή 22

24 Επειδή οι IP διευθύνσεις κωδικοποιούν ένα δίκτυο αλλά και έναν υπολογιστή σε αυτό το δίκτυο, δεν καθορίζουν έναν συγκεκριμένο υπολογιστή, αλλά μία σύνδεση σε ένα δίκτυο. Στην πράξη η απομνημόνευση των 32 bits είναι εξαιρετικά δύσκολη. Γι' αυτό έχει επινοηθεί η αναπαράσταση της διεύθυνσης με την χρήση δεκαδικών αριθμών. Η διεύθυνση διαχωρίζεται με τελείες σε τέσσερα πεδία των οκτώ bit. Κάθε πεδίο μετατρέπεται στο ισοδύναμο δεκαδικό αριθμό, όπως φαίνεται στο παρακάτω παράδειγμα. Internet Control Message Protocol (ICMP) Ένα άλλο πρωτόκολλο αυτού του επιπέδου είναι το Internet Control Message Protocol (ICMP). Το ICMP δρα βοηθητικά, παράγοντας και διαχειρίζοντας μηνύματα λάθους για το πακέτο πρωτοκόλλων TCP/IP. Επιτρέπει στους δρομολογητές να επιστρέφουν μηνύματα λάθους σε άλλους δρομολογητές ή υπολογιστές. Για παράδειγμα, εάν ζητηθεί η σύνδεση με υπολογιστή που δεν υπάρχει ή δεν είναι διαθέσιμος προς το παρών, το ICMP σε κάποιον router θα επιστρέψει στον αποστολέα του αρχικού μηνύματος ένα μήνυμα με περιεχόμενο "host unreachable". Επιπλέον, το ICMP μπορεί να χρησιμοποιηθεί για την συλλογή πληροφοριών για ένα δίκτυο και για σκοπούς debugging Επίπεδο Μεταφοράς. Transmission Control Protocol (TCP) Το TCP (Transmission Control Protocol) είναι ένα connection-oriented πρωτόκολλο του επιπέδου μεταφοράς, που είναι υπεύθυνο για την εξασφάλιση αξιόπιστης επικοινωνίας μεταξύ δυο ακραίων υπολογιστών, διαμέσου ενός ή περισσοτέρων δικτύων. Σε αυτό το επίπεδο επιτυγχάνεται η από άκρου σε άκρου επικοινωνία μεταξύ των χρηστών. Στα χαμηλότερα επίπεδα γινόταν εφικτή η επικοινωνία ενός συστήματος με τον πλησιέστερο δρομολογητή, ώστε διαδοχικές τέτοιες επικοινωνίες να εξασφαλίζουν την σύνδεση των δύο άκρων. Όπως προαναφέθηκε, το IP είναι connectionless πρωτόκολλο. Τις ελλείψεις του IP αναλαμβάνει να καλύψει το TCP: εξασφαλίζει την παράδοση των πακέτων με την σωστή σειρά, ελέγχει την ροή των δεδομένων, διασφαλίζει την αξιοπιστία της σύνδεσης καθώς επίσης ξεκινά και τερματίζει τις συνδέσεις μεταξύ δύο εφαρμογών μέσα στο δίκτυο. Πρωτόκολλα εφαρμογών όπως το FTP για την μεταφορά τον αρχείων και το SMTP για το ηλεκτρονικό ταχυδρομείο, στηρίζονται στις υπηρεσίες που προσφέρει το TCP. Το TCP παραλαμβάνει δεδομένα από την εφαρμογή, τα τεμαχίζει σε τμήματα που δεν υπερβαίνουν τα 64 Κbyte και τα στέλνει στον ανταποκριτή του. Κατά την παραλαβή των πακέτων, ο αποδέκτης επιστρέφει μήνυμα που επιβεβαιώνει την παραλαβή τους. Σε περίπτωση που ο αποστολέας δεν λάβει επιβεβαιωτικό μήνυμα μέσα σε συγκεκριμένο χρονικό διάστημα από την αποστολή του πακέτου, συμπεραίνει ότι το πακέτο δεν παραλήφθηκε και το ξαναστέλνει. Τα πακέτα στέλνονται υπό την μορφή stream, εγκαθιστώντας έτσι μια εικονική σύνδεση μεταξύ των δύο άκρων. 23

25 Το TCP έχει τις εξής λειτουργίες: Λογική σύνδεση και αποσύνδεση. Μετάδοση δεδομένων. Έλεγχο ροής. Πολύπλεξη εφαρμογών. Αξιοπιστία μετάδοσης. Υποστήριξη full duplex επικοινωνίας. Προτεραιότητα και ασφάλεια Προκειμένου να επικοινωνήσει το TCP με το ανώτερο επίπεδο εφαρμογών χρησιμοποιείται η έννοια της πόρτας (port). Πόρτα είναι ένας ακέραιος που βρίσκεται στο πεδίο της επικεφαλίδας του πακέτου TCP και της οποίας η τιμή αντιπροσωπεύει την εφαρμογή που χρησιμοποιεί την σύνδεση. Για τις πλέον συνηθισμένες εφαρμογές του Internet προτείνονται οι εξής τιμές: FTP = 21 TELNET = 23 SMTP = 25 HTTP = 80 Ο συνδυασμός της διεύθυνσης IP με τον αριθμό της πόρτας του TCP ονομάζεται socket και χαρακτηρίζει με μοναδικό τρόπο την συγκεκριμένη εφαρμογή που τρέχει σε ένα σύστημα. Ένα ζευγάρι από socket χαρακτηρίζει μοναδικά την επικοινωνία μεταξύ των δύο εφαρμογών σε διαφορετικά συστήματα υπολογιστών. User Datagram Protocol (UDP) Το UDP είναι πρωτόκολλο του επιπέδου μεταφοράς όπως το TCP με την διαφορά ότι είναι connectionless. Είναι εξαιρετικά απλό στην υλοποίηση του, άλλα σε αντίθεση με το TCP, δεν προσφέρει μηχανισμούς επανεκπομπής, αξιοπιστίας και ελέγχου ροής. Μερικές από τις εφαρμογές που στηρίζονται στο UDP είναι η NFS (Network File System) για διαχείριση αρχείων δικτύου και η TFTP (Trivial File Transfer Protocol) για την μεταφορά αρχείων. Οι ίδιες οι εφαρμογές πρέπει να φροντίζουν για τις λειτουργίες που δεν είναι σε θέση να προσφέρει το UDP Επίπεδο Εφαρμογών. Σε αυτό το επίπεδο ανήκουν οι υπηρεσίες του Διαδικτύου. Θα περιγράψουμε τις σημαντικότερες και τις πιο συχνά χρησιμοποιούμενες. Telnet Το Telnet (ή remote login) είναι μια από τις βασικότερες υπηρεσίες του Διαδικτύου που επιτρέπει σε κάποιον χρήστη να έχει πρόσβαση τερματικού σε ένα μακρινό server. Το Telnet λειτουργεί μεταφέροντας τις εντολές που πληκτρολογεί ο χρήστης στον υπολογιστή του στον απομακρυσμένο υπολογιστή με τον οποίο συνδέεται. Παρ' όλο που στην πραγματικότητα ο 24

26 χρήστης "μιλάει" με τον υπολογιστή του, το πρόγραμμα καταφέρνει και δίνει την ψευδαίσθηση στον χρήστη ότι επικοινωνεί με τον απομακρυσμένο υπολογιστή. File Transfer Protocol (FTP) Το FTP ήταν η πρώτη υπηρεσία για την ανάκτηση και μεταφορά πληροφορίας και αρχείων που χρησιμοποιήθηκε στο Διαδίκτυο. Η βασική λειτουργία του είναι η αξιόπιστη μεταφορά αρχείων από υπολογιστή σε υπολογιστή και επιτρέπει στους χρήστες να στήνουν μια σύνδεση ελέγχου μεταξύ του FTP client και του FTP server. Η σύνδεση αυτή τους επιτρέπει να ψάχνουν στους καταλόγους του server και να μεταφέρουν τα αρχεία που επιθυμούν από τον server προς τον δικό τους υπολογιστή. Για την μεταφορά των αρχείων δημιουργείται αυτόματα από ο FTP μια νέα ανεξάρτητη σύνδεση. Domain Name Service (DNS) Η υπηρεσία DNS χρησιμοποιείται από τους χρήστες του Διαδικτύου για την αντικατάσταση των αριθμητικών IP διευθύνσεων με εύχρηστα ονόματα (domain names). Συγκεκριμένα, το DNS προσφέρει υπηρεσίες μετάφρασης μεταξύ ονομάτων και IP διευθύνσεων. Κάθε υπολογιστής και δρομολογητής στο Διαδίκτυο διαθέτει ένα όνομα. Η ονοματολογία του Διαδικτύου έχει σαν χαρακτηριστικό την ιεράρχηση των ονομάτων. Κατατάσσονται ανάλογα με το εύρος του δικτύου που περιγράφουν και το όνομα ενός μηχανήματος αποτελείται από τόσα επιμέρους ονόματα όσα χρειάζεται για να προσδιοριστεί πλήρως. Τα επιμέρους ονόματα δικτύων διαχωρίζονται μεταξύ τους με τελείες. Για παράδειγμα, το όνομα saturn.lab.epmhs.gr αντιπροσωπεύει τον υπολογιστή με το όνομα saturn που βρίσκεται στο τοπικό δίκτυο lab.epmhs.gr. Το lab.epmhs.gr ανήκει με την σειρά του στο ευρύτερο δίκτυο epmhs.gr, το οποίο ανήκει στην περιοχή gr, δηλαδή στην Ελλάδα. Σε ένα δίκτυο που εξυπηρετεί αρκετούς υπολογιστές κάτω από το ίδιο όνομα δικτύου πρέπει να λειτουργεί ένας DNS server που θα παρέχει πληροφορίες για τους υπολογιστές που ανήκουν στο δίκτυο του. Για κάθε επίπεδο αυτής της ιεράρχησης υπάρχει τουλάχιστον ένας DNS server που γνωστοποιεί το όνομα του στον server του αμέσως ανώτερου επιπέδου. Αυτό επαναλαμβάνεται έως ότου να καλυφθεί όλη ιεραρχία ονομάτων. Η υπηρεσία του DNS χρησιμοποιείται αυτοματοποιημένα και από τις υπόλοιπες εφαρμογές του Διαδικτύου. Όποτε απευθύνεται στον DNS server ερώτημα για κάποιον υπολογιστή από οποιαδήποτε υπηρεσία, αυτός συμβουλεύεται τους πίνακες καταχωρήσεων που διαθέτει και δίνει απάντηση για την IP διεύθυνση που αντιστοιχεί στο όνομα του ζητούμενου υπολογιστή. Σε περίπτωση που ερωτηθεί για υπολογιστή για τον οποίο δεν έχει καταχώρηση, τότε παραπέμπει την αίτηση σε DNS server υψηλότερου επιπέδου. Ηλεκτρονικό Ταχυδρομείο ( ) Το ηλεκτρονικό ταχυδρομείο επιτρέπει την αποστολή μηνυμάτων μεταξύ των χρηστών του Διαδικτύου. Οι διευθύνσεις του ηλεκτρονικού ταχυδρομείου βασίζονται στις διευθύνσεις του Internet και έχουν την μορφή όπου user το όνομα του χρήστη και domain το όνομα του υπολογιστή. Ο User Agent (UA) είναι το πρόγραμμα client στον υπολογιστή του χρήστη που αναλαμβάνει την διαχείριση και ανάκτηση του ταχυδρομείου. Με την βοήθεια αυτού του προγράμματος ο χρήστης γράφει τα μηνύματα του, τα στέλνει, παραλαμβάνει άλλα μηνύματα και τα διαβάζει. Ο Mail Transfer Agent (MTA) παραλαμβάνει τα μηνύματα από τον UA και τα προωθεί στον επόμενο MTA μέχρι να βρεθεί ο MTA που έχει άμεση σύνδεση με τον υπολογιστή του χρήστη. Ο τελευταίος MTA επικοινωνεί με τον UA του παραλήπτη για την παράδοση των 25

27 μηνυμάτων. Το σύνολο των MTA καλείται Message Transfer System (MTS). Η επικοινωνία από ΜΤΑ σε ΜΤΑ γίνεται με χρήση του πρωτοκόλλου SMTP (Simple Mail Transfer Protocol, ενώ η επικοινωνία του UA με τον ΜΤΑ γίνεται με χρήση των πρωτοκόλλων POP (Post Office Protocol) και IMAP (Internet Message Access Protocol). Τα ίδια τα μηνύματα συντάσσονται με βάσει το πρωτόκολλο MIME (Multipurpose Internet Mail Extensions). Το παραπάνω σύστημα παράδοσης του ηλεκτρονικού ταχυδρομείου επιτρέπει το ηλεκτρονικό ταχυδρομικό του χρήστη να βρίσκεται σε κάποιον server και έτσι δεν είναι απαραίτητο να είναι εν λειτουργία ο υπολογιστή του αποδέκτη κατά την αποστολή του μηνύματος. Ο αποδέκτης θα παραλάβει τα μηνύματα του όταν ανοίξει τον υπολογιστή του και συνδεθεί με τον server (MTA). World Wide Web (WWW) Είναι από τις τελευταίες και πιο γρήγορα αναπτυσσόμενες υπηρεσίες του Διαδικτύου. Το World Wide Web (WWW) επιτρέπει την πρόσβαση και την ανάκτηση κάθε είδους πληροφορίας, μέσα από ένα σύνθετο περιβάλλον γραφικών, κειμένου και φωτογραφιών. Το WWW αποτελείται από υπολογιστές που διανείμουν την πληροφορία, τους servers και από υπολογιστές που αναζητούν πληροφορίες εκ μέρους των χρηστών, τους clients. Οι πρώτοι τρέχουν ειδικά προγράμματα που καλούνται Web servers, ενώ οι δεύτεροι τρέχουν τους Web browsers, client προγράμματα που διατίθονται δωρεάν από πολλές εταιρίες. Η πληροφορία αποθηκεύεται στους Web servers (συνήθως ένας αφιερωμένος υπολογιστής ταυτίζεται με το λογισμικό που τρέχει) υπό μορφή ηλεκτρονικών σελίδων. Η γλώσσα που χρησιμοποιείται για την σύνταξη των σελίδων αυτών είναι η HTML (Hyper Text Mail Language). Τα περιεχόμενα της μπορεί να είναι δεδομένα κειμένου, γραφικά, εικόνες, σύνδεσμοι και τώρα τελευταία με την ανάπτυξη της Java, αλληλεπιδραστικές διεργασίες (interactive sessions). Επίσης, με την χρήση του πρωτοκόλλου ΜΙΜΕ που αναφέρθηκε παραπάνω, μπορεί να προστεθεί στις σελίδες κινούμενη εικόνα, ήχος και κινούμενα γραφικά. Η θέση μιας σελίδας στο Διαδίκτυο καθώς και το πρωτόκολλο που χρειάζεται για να την ανοίξει κάποιος προσδιορίζεται από το λεγόμενο URL (Uniform Resource Locator). Το URL προσδιορίζει επιπλέον το όνομα του αρχείου και του καταλόγου στον Web server. Τα πρωτόκολλα που χρησιμοποιούνται για το άνοιγμα των ηλεκτρονικών σελίδων και γενικότερα για την επικοινωνία μεταξύ του Web server και του Web browser, είναι κυρίως το HTTP (Hyper Text Transfer Protocol). Άλλα πρωτόκολλα που μπορούν να χρησιμοποιηθούν είναι το FTP και το GOPHER. Η μορφή του URL είναι: <protocol>://<hostname>:<port><directory><filename> όπου <protocol> είναι το χρησιμοποιούμενο πρωτόκολλο, <hostname> το όνομα του Web server, <port> η χρησιμοποιούμενη πόρτα επικοινωνίας (συχνά παραλείπεται και χρησιμοποιείται η προκαθορισμένη τιμή που είναι 80), <directory> ο κατάλογος στον Web server που περιέχει το ζητούμενο αρχείο και τέλος <filename> το όνομα του αρχείου ηλεκτρονική σελίδα που ζητήθηκε. Τα περιεχόμενα της ηλεκτρονικής σελίδας μπορεί να είναι στατικά ή να δημιουργούνται δυναμικά με την εκτέλεση ενός προγράμματος στην μεριά τους server. Ένα τυποποιημένο μέσο για την γραφή τέτοιων προγραμμάτων είναι το CGI (Common Gateway Interface). 26

28 1.4 Η Προσέγγιση. Για την κατάταξη των νέων πρωτοκόλλων και συστημάτων που, είναι απαραίτητη η υιοθέτηση ενός μοντέλου, σαν αυτό του OSI, που θα βοηθήσει στην κατανόηση της λειτουργικότητας των και της συσχέτισης τους τόσο μεταξύ τους, όσο και με τα πρωτόκολλα του Internet. Η προσέγγιση βασίστηκε στο πολυεπίπεδο μοντέλο που ακολουθεί και προσομοιάζει τα επίπεδα του Διαδικτύου Το Μοντέλο. 5. APPLICATIONS 4. INTERNET SERVICES 3. HIGHER INTERNET PROTOCOLS 2. TCP/IP 1. NETWORK ACCESS Πίνακας 1.1: Μοντέλο Ασφαλείας. 27

29 1.4.2 Σύντομη Περιγραφή του Μοντέλου. Στο πρώτο επίπεδο του μοντέλου ασφαλείας, περιλαμβάνονται οι τεχνικές ασφάλισης του ηλεκτρικού σήματος. Οι τεχνικές αυτές έχουν να κάνουν με την κωδικοποίηση των bits για μετάδοση στο μέσο, την πολυπλεξία λογικών καναλιών με την χρήση διαφορετικών συχνοτήτων και τα bits ισοτιμίας. Οι τεχνικές διαφέρουν ανάλογα με την τεχνολογία τοπικών δικτύων που χρησιμοποιείται (Ethernet, Token Ring, FDDI), ενώ παρόμοιες μέθοδοι εφαρμόζονται και από τα modem στις dial-up συνδέσεις. Συγκεκριμένα, η λειτουργία των modem βασίζεται σε πρωτόκολλα που καθορίζουν τους αλγόριθμους που υλοποιούνται σε τσιπ σιλικόνης. Σε αυτό το επίπεδο ανήκουν και οι περιπτώσεις της hardware κρυπτογραφίας και στεγανογραφίας. Στο επίπεδο TCP/IP κατατάσσονται συστήματα που εξασφαλίζουν την επικοινωνία με τα πρωτοκόλλα TCP και IP. Παράδειγμα συστημάτων αυτού του επιπέδου είναι IPSec και το NAT. Στο αμέσως πιο πάνω επίπεδο, στο επίπεδο HIGHER INTERNET PROTOCOLS βρίσκεται το SSL, πρωτόκολλο που στοχεύει στην διασφάλιση του πακέτου TCP/IP και των εφαρμογών που χρησιμοποιούν το TCP/IP. Το SSL προσθέτει δύο νέα επίπεδα στο OSI μοντέλο, γεγονός που το τοποθετεί ένα επίπεδο πάνω από το IPSec. Στο επίπεδο των υπηρεσιών του Διαδικτύου ανήκουν όλα τα συστήματα που αποτελούν προεκτάσεις των υπαρχόντων πρωτοκόλλων υπηρεσιών, προσθέτοντας χαρακτηριστικά ασφαλείας. Οι υπηρεσίες που διασφαλίζονται είναι το ηλεκτρονικό ταχυδρομείο, το World Wide Web, το DNS και το remote login. Παράδειγμα αυτών των συστημάτων είναι το S/MIME, το PEM, το S/HTTP. Τέλος, στο επίπεδο των εφαρμογών κατατάσσονται πιο ολοκληρωμένα συστήματα, που πολλές φορές χρησιμοποιούν πρωτόκολλα από το παρακάτω επίπεδο. Καλύπτουν πληθώρα αναγκών και συνήθως αναπτύσσονται από οργανισμούς για εσωτερική χρήση. Η επιτυχία του κάθε συστήματος καθορίζει της αποδοχή του από την κοινότητα του Διαδικτύου. Μερικά από αυτά είναι το Kerberos, το S/KEY, το RADIUS, ενώ υπάρχουν και πιο γενικές έννοιες όπως αυτή των Firewalls. Στα δύο τελευταία επίπεδα του μοντέλου ασφαλείας ανήκουν και τα περισσότερα από τα νέα πρωτόκολλα. Στις σελίδες που ακολουθούν, θα επιχειρήσουμε να παρουσιάσουμε τα υπάρχοντα δικτυακά συστήματα ασφαλείας και συγχρόνως να τα κατατάξουμε σύμφωνα με το παραπάνω μοντέλο. Λόγω της φύσης των τεχνικών που χρησιμοποιούνται στο πρώτο επίπεδο, η οποίες εξαρτούνται από την εκάστοτε τεχνολογία δικτύων, δεν θα αναφερθούμε καθόλου σε αυτό. Οι τεχνικές αυτές έχουν να κάνουν περισσότερο με τα χαρακτηριστικά της σύνδεσης και δεν έχουν γίνει προσπάθειες για την περαιτέρω διασφάλιση τους. Ακόμα, οι περιπτώσεις της hardware κρυπτογραφίας, δεν εφαρμόζονται παρά σε ελάχιστες, εξειδικευμένες καταστάσεις, όπως στις στρατιωτικές και κυβερνητικές επικοινωνίες.[5], [18] 28

30 Κεφάλαιο 2 Προσωπικά Δεδομένα. O σεβασμός και η προστασία της αξιοπρέπειας, της ιδιωτικής ζωής και της ελεύθερης ανάπτυξης της προσωπικότητας αποτελούν πρωταρχική επιδίωξη κάθε δημοκρατικής κοινωνίας. Η τεράστια πρόοδος της πληροφορικής, η ανάπτυξη νέων τεχνολογιών, οι νέες μορφές διαφήμισης και ηλεκτρονικών συναλλαγών και η ανάγκη της ηλεκτρονικής οργάνωσης του κράτους έχουν σαν συνέπεια την αυξημένη ζήτηση προσωπικών πληροφοριών από τον ιδιωτικό και δημόσιο τομέα. Η ανεξέλεγκτη καταχώριση και επεξεργασία των προσωπικών δεδομένων σε ηλεκτρονικά και χειρόγραφα αρχεία υπηρεσιών, εταιρειών και οργανισμών μπορεί να δημιουργήσει προβλήματα στην ιδιωτική ζωή του πολίτη. Οι κίνδυνοι αυτοί αυξάνονται με τις νέες δυνατότητες ταχύτατης μεταφοράς πληροφοριών παγκοσμίως μέσω του Internet. Για την προστασία του ατόμου στην κοινωνία της πληροφορίας δεν αρκούν οι παραδοσιακές θεσμικές εγγυήσεις και ρυθμίσεις, αλλά χρειάζεται ειδική αντιμετώπιση. H 7 Φεβρουαρίου είναι η Παγκόσμια Ημέρα Ασφαλής Πλοήγησης στο Διαδίκτυο. Καθιερώθηκε με την πρωτοβουλία της Ευρωπαίας Επιτρόπου Βιβιάν Ρέντινγκ με σκοπό να ευαισθητοποιήσει τους χρήστες και ιδιαίτερα τα παιδιά για τους κινδύνους του διαδικτύου. Για την ασφαλή πλοήγηση στο Διαδίκτυο έχουν παρθεί μέτρα τόσο σε διεθνή όσο και σε εγχώριο επίπεδο, τα ποια και θα αναλυθούν παρακάτω. Ταυτόχρονα, έχουν δημιουργηθεί ειδικές οργανώσεις και η ΕΕ έχει θεσπίσει ειδικούς νόμους για την προστασία των χρηστών. Στην Ελλάδα, υπάρχει η Ελληνική Καταναλωτική Οργάνωση (ΕΚΑΤΟ) που οι εκπρόσωποι των οποίων πραγματοποιούν περιπολίες στο Διαδίκτυο για την προστασία των παιδιών και την ασφαλή πλοήγησή τους σε αυτό. Αναζητούν και εντοπίζουν κατά την πλοήγησή τους στο Διαδίκτυο ιστοσελίδες ακατάλληλου ή επιβλαβούς περιεχομένου, όπως είναι πορνογραφικές σελίδες, με βία, ρατσισμό ή τζόγο κ.λ.π, που δεν έχουν τις απαραίτητες ενδείξεις ότι απευθύνονται σε ενήλικες. Αντίστοιχες ομάδες περιπολίας έχουν δημιουργηθεί στην Αμερική και στον Καναδά. 2.1 Η Έννοια των Προσωπικών Δεδομένων. Η απώλεια ψηφιακών δεδομένων αποτελεί μια από τις μεγαλύτερες μη υπολογιζόμενες ζημιές για τις σύγχρονες κοινωνίες. Η προστασία δεδομένων από εξωτερικούς ή και εσωτερικούς κινδύνους όπως επίσης και η διασφάλιση της ομαλής λειτουργίας των υπολογιστικών συστημάτων ενός εταιρικού ή οικιακού δικτύου πρέπει να συγκαταλέγονται μεταξύ των προτεραιοτήτων των εκάστοτε χρηστών. H μόλυνση ενός ή και περισσοτέρων συστημάτων από ψηφιακό ιό πολύ συχνά έχει ως αποτέλεσμα την καταστροφή ζωτικών δεδομένων για την εταιρεία ή για το ίσιο το άτομο, ενώ εξίσου σημαντική είναι και η ζημιά σε χαμένες ώρες εργασίας για μέρος ή το σύνολο του υπαλληλικού προσωπικού. Ένας hacker π.χ. μπορεί να χρησιμοποιήσει εταιρικά ή προσωπικά 29

31 δεδομένα που έχουν εμπιστευθεί οι πελάτες μιας εταιρίας, στιγματίζοντας ανεπανόρθωτα τόσο την εταιρεία και επιβαρύνοντας την οικονομικά (έμμεσα ή άμεσα) όσο και το ίδιο το άτομο. Η ανάπτυξη των νέων τεχνολογιών και οι νέες μορφές διαφήμισης και ηλεκτρονικών συναλλαγών οδήγησαν στην αυξημένη ζήτηση προσωπικών πληροφοριών από τον ιδιωτικό και δημόσιο τομέα. Οι προσωπικές αυτές πληροφορίες που αναφέρονται σε κάθε είδους δραστηριότητα προσωπική είτε επαγγελματική του ατόμου ονομάζονται προσωπικά δεδομένα. Ορισμός Προσωπικών Δεδομένων. Προσωπικά δεδομένα είναι, σύμφωνα με τον Νόμο 2472/1997 και την Οδηγία 95 / 46 / ΕΚ κάθε πληροφορία που αναφέρεται στο πρόσωπό του κάθε ατόμου, π.χ. το όνομα και το επάγγελμά του ατόμου, η οικογενειακή του κατάσταση, η ηλικία του, ο τόπος κατοικίας, η φυλετική του προέλευση, τα πολιτικά του φρονήματα, η θρησκεία που πιστεύει, οι φιλοσοφικές του απόψεις, η συνδικαλιστική του δράση, η υγεία του, η ερωτική του ζωή και οι τυχόν ποινικές του διώξεις και καταδίκες 2.2 Προστασία Προσωπικών Δεδομένων. Αναγνωρίζοντας ότι η συλλογή, η επεξεργασία και, ιδιαίτερα, η διαβίβαση ή κοινοποίηση προσωπικών δεδομένων μέσω των νέων τεχνολογιών πληροφοριών, και, συγκεκριμένα των λεωφόρων πληροφοριών, διέπονται από τις διατάξεις της Συνθήκης για την Προστασία του Ατόμου από την Αυτόματη Επεξεργασία Προσωπικών Δεδομένων (Στρασβούργο 1981, Σειρά Ευρωπαϊκών Συνθηκών Αρ. 108) και από επιμέρους συστάσεις για την προστασία δεδομένων και κυρίως τη Σύσταση Αρ. R(90)19 για την προστασία των προσωπικών δεδομένων που χρησιμοποιούνται στην εξόφληση λογαριασμών και άλλες συναφείς εργασίες. Χρησιμοποιώντας το Διαδίκτυο οι χρήστες επιφορτίζονται με ευθύνες όσον αφορά στη δράση τους και θέτουν σε κίνδυνο την ιδιωτικότητά τους. Είναι σημαντικό να συμπεριφέρονται με τρόπο που να τους εξασφαλίζει προστασία και να προάγει τις αγαθές σχέσεις με τα άλλα πρόσωπα. Οι παρούσες κατευθυντήριες γραμμές προτείνουν ορισμένους πρακτικούς τρόπους για τη διασφάλιση της ιδιωτικότητας, αλλά πρέπει επίσης να γνωρίζουν τα δικαιώματα και τις υποχρεώσεις τους που απορρέουν από τον νόμο. Πρέπει να έχουν υπόψη τους ότι ο σεβασμός της ιδιωτικότητας αποτελεί θεμελιώδες δικαίωμα για κάθε άτομο και τυγχάνει προστασίας από αντίστοιχη νομοθεσία. Παρακάτω ακολουθούν κάποιες κατευθυντήριες γραμμές που περιγράφουν τις αρχές της ορθής πρακτικής, σε ότι αφορά στην ιδιωτικότητα, για χρήστες και παροχείς υπηρεσιών Διαδικτύου (ISP). [28] Προς χρήστες. 1. Να θυμάστε ότι το Διαδίκτυο δεν είναι ασφαλές. Ωστόσο, υπάρχουν, και διαρκώς αναπτύσσονται, διάφορα μέσα τα οποία σας επιτρέπουν να βελτιώσετε την προστασία των δεδομένων σας. Συνεπώς, να χρησιμοποιείτε όλα τα διαθέσιμα μέσα για την προστασία των δεδομένων και των επικοινωνιών σας, όπως τη νόμιμη κρυπτογράφηση για τα εμπιστευτικού χαρακτήρα ηλεκτρονικά μηνύματά σας καθώς και κωδικούς πρόσβασης για τον προσωπικό σας υπολογιστή. 30

32 2. Να θυμάστε ότι κάθε συναλλαγή σας, κάθε επίσκεψή σας στο Διαδίκτυο, αφήνει ίχνη. Αυτά τα «ηλεκτρονικά ίχνη» μπορούν να χρησιμοποιηθούν, εν αγνοία σας, για να διαμορφωθεί ένα προφίλ για το άτομό σας και τα ενδιαφέροντά σας. Αν δεν επιθυμείτε να συμβεί αυτό, σας παροτρύνουμε να χρησιμοποιείτε τα τελευταία τεχνικά μέσα, τα οποία περιλαμβάνουν τη δυνατότητα ενημέρωσής σας κάθε φορά που αφήνετε ίχνη, ώστε να τα σβήνετε. Μπορείτε επίσης να ζητάτε να ενημερώνεστε για την πολιτική ιδιωτικότητας που ακολουθούν διάφορα προγράμματα και ηλεκτρονικοί τόποι Διαδικτύου και να προτιμάτε εκείνα που καταγράφουν τα λιγότερα δεδομένα ή εκείνα που προσφέρουν πρόσβαση με ταυτόχρονη διατήρηση της ανωνυμίας. 3. Η ανώνυμη πρόσβαση και χρήση υπηρεσιών, καθώς και τα ανώνυμα μέσα εξόφλησης λογαριασμών, αποτελούν την καλύτερη προστασία της ιδιωτικότητάς σας. Αναζητήστε τα τεχνικά μέσα που διασφαλίζουν την ανωνυμία σας όπου χρειάζεται. 4. Η πλήρης ανωνυμία ίσως να μην επιτρέπεται λόγω νομικών περιορισμών. Σε αυτές τις περιπτώσεις και εφόσον επιτρέπεται από τον νόμο, μπορείτε να χρησιμοποιείτε ψευδώνυμο ώστε μόνο ο Παροχέας Υπηρεσιών Διαδικτύου να γνωρίζει την ταυτότητά σας. 5. Να δίνετε στον Παροχέα Υπηρεσιών Διαδικτύου, ή κάθε άλλο πρόσωπο, μόνο τα δεδομένα που είναι απαραίτητα για την εκπλήρωση συγκεκριμένου σκοπού για τον οποίο έχετε ενημερωθεί. Δίνετε ιδιαίτερη προσοχή στους αριθμούς των πιστωτικών καρτών και των τραπεζικών λογαριασμών σας, επειδή η χρήση και η κατάχρηση αυτών στο χώρο του Διαδικτύου ενδεχομένως γίνεται πολύ εύκολα. 6. Να θυμάστε ότι η ηλεκτρονική σας διεύθυνση αποτελεί προσωπικό σας δεδομένο και ότι άλλα πρόσωπα μπορεί να επιθυμούν να το χρησιμοποιήσουν για διαφορετικούς σκοπούς, όπως είναι η εισαγωγή της σε καταλόγους ή σε λίστες χρηστών. Μη διστάζετε να ρωτάτε για το σκοπό του καταλόγου ή άλλης χρήσης. Μπορείτε να ζητήσετε την παράλειψη των στοιχείων σας εφόσον δεν επιθυμείτε να εγγραφείτε σε μια τέτοια λίστα. 7. Να είστε επιφυλακτικοί με τόπους Διαδικτύου όπου ζητούνται περισσότερα στοιχεία από όσα είναι απαραίτητα για την πρόσβαση ή την ολοκλήρωση μιας συναλλαγής, ή όταν δεν σας εξηγούν το λόγο για τον οποίο σας ζητούν τόσες πληροφορίες. 8. Να θυμάστε ότι φέρετε πλήρη ευθύνη έναντι του νόμου για την επεξεργασία των δεδομένων, για παράδειγμα, αν φορτώνετε παράνομα στοιχεία από το διαδίκτυο στον υπολογιστή σας ή αντίστροφα, και ότι τα ίχνη σας μπορούν να βρεθούν ακόμα και στην περίπτωση που χρησιμοποιείτε ψευδώνυμο. 9. Μην αποστέλλετε κακόβουλη αλληλογραφία. Μπορεί να στραφεί εναντίον σας και, επιπλέον, να υποστείτε τις συνέπειες του νόμου. 10. Ο Παροχέας Υπηρεσιών Διαδικτύου που χρησιμοποιείτε είναι υπεύθυνος για την ορθή χρήση των δεδομένων που του παρέχετε. Ρωτήστε τον/την τι είδους δεδομένα συλλέγει, επεξεργάζεται και αποθηκεύει, με ποιον τρόπο και για ποιο σκοπό. Να επαναλαμβάνετε την ερώτηση αυτή κατά διαστήματα. Να επιμένετε για την αλλαγή τους αν είναι λανθασμένα ή για τη διαγραφή τους αν είναι υπερβολικά, «ξεπερασμένα» ή περιττά. Να ζητάτε από τον Παροχέα σας να ενημερώνει τρίτους, στους οποίους έχει διαβιβάσει ή κοινοποιήσει τα δεδομένα σας για τυχόν τροποποιήσεις. 11. Αν δεν είστε ικανοποιημένος/η με τον τρόπο με τον οποίο ο Παροχέας σας συλλέγει, χρησιμοποιεί, αποθηκεύει, διαβιβάζει ή κοινοποιεί δεδομένα και αρνείται να αλλάξει τη συμπεριφορά του/της, τότε εξετάστε ενδεχόμενη αλλαγή Παροχέα. Αν πιστεύετε ότι ο Παροχέας σας δεν συμμορφώνεται με τους κανόνες προστασίας δεδομένων, μπορείτε να ενημερώσετε τις αρμόδιες αρχές ή να προβείτε σε ενέργειες σύμφωνα με το νόμο. 12. Να ενημερώνεστε για τους κινδύνους που σχετίζονται με την ασφάλεια και την ιδιωτικότητα στο Διαδίκτυο, καθώς και για τις διαθέσιμες μεθόδους και τεχνικές για τη μείωση αυτών των κινδύνων. 31

33 13. Αν σκοπεύετε να στείλετε δεδομένα σε άλλη χώρα, πρέπει να γνωρίζετε ότι ενδέχεται να παρέχεται μικρότερη προστασία εκεί. Αν τα εν λόγω δεδομένα αφορούν εσάς, είστε σαφώς ελεύθερος να τα διαβιβάσετε/κοινοποιήσετε. Ωστόσο, οφείλετε να συμβουλευτείτε, για παράδειγμα, την αρμόδια αρχή στη χώρα σας, προκειμένου να βεβαιωθείτε ότι επιτρέπεται η διαβίβαση δεδομένων, πριν αποστείλετε δεδομένα άλλων προσώπων στο εξωτερικό. Ίσως χρειαστεί να ζητήσετε από τον αποδέκτη να παράσχει τις απαραίτητες εγγυήσεις για την προστασία των δεδομένων. Προς παροχείς υπηρεσιών Διαδικτύου. 1. Να ακολουθείτε τις κατάλληλες διαδικασίες και να χρησιμοποιείτε τις διαθέσιμες τεχνολογίες, κατά προτίμηση όσες συνοδεύονται από πιστοποίηση, προκειμένου να προστατεύσετε την ιδιωτικότητα των ενδιαφερομένων (ακόμα και στην περίπτωση που δεν είναι χρήστες του Διαδικτύου), ιδιαίτερα, όσον αφορά στη διασφάλιση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, καθώς και της φυσικής και λογικής ασφάλειας του δικτύου και των αντιστοίχων παρεχομένων υπηρεσιών. 2. Να πληροφορείτε τους χρήστες για τους κινδύνους, σχετικά με την ιδιωτικότητα, που παρουσιάζονται λόγω χρήσης του Διαδικτύου, προτού ολοκληρώσουν την εγγραφή τους ή αρχίσουν να χρησιμοποιούν τις προσφερόμενες υπηρεσίες. Οι κίνδυνοι αυτού του είδους μπορεί να αφορούν στην ακεραιότητα και την εμπιστευτικότητα των δεδομένων, στην ασφάλεια του δικτύου ή σε άλλους κινδύνους σχετικά με την ιδιωτικότητα, όπως η κρυφή συλλογή ή καταγραφή δεδομένων. 3. Να πληροφορείτε τους χρήστες για τα τεχνικά μέσα τα οποία μπορούν να χρησιμοποιούν νόμιμα προκειμένου να μειώνουν τους κινδύνους για την ασφάλεια των δεδομένων και των επικοινωνιών, όπως είναι η νόμιμα διαθέσιμη κρυπτογράφηση και οι ψηφιακές υπογραφές. Να προσφέρετε τέτοιου είδους τεχνικά μέσα σε τιμή κόστους, όχι σε απαγορευτική τιμή. 4. Προτού αποδεχθείτε την εγγραφή και τη σύνδεση χρηστών στο Διαδίκτυο, να τους πληροφορείτε για τις δυνατότητες ανώνυμης πρόσβασης, καθώς και για τις δυνατότητες χρήσης και εξόφλησης υπηρεσιών, με τρόπους που παρέχουν τη δυνατότητα διατήρησης της ανωνυμίας, όπως οι προπληρωμένες κάρτες πρόσβασης. Σε περιπτώσεις όπου η πλήρης ανωνυμία ενδεχομένως να μην επιτρέπεται λόγω νομικών περιορισμών, μπορείτε, εφόσον το επιτρέπει ο νόμος, να τους προσφέρετε τη δυνατότητα χρήσης ψευδωνύμων. Να πληροφορείτε τους χρήστες για την ύπαρξη προγραμμάτων τα οποία τους επιτρέπουν την ανώνυμη έρευνα και φυλλομέτρηση ιστοσελίδων στο Διαδίκτυο. Σχεδιάστε το σύστημά σας κατά τέτοιον τρόπο ώστε να παρακάμπτεται ή να ελαχιστοποιείται η χρήση προσωπικών δεδομένων. 5. Μη διαβάζετε, τροποποιείτε ή διαγράφετε μηνύματα που έχουν αποσταλεί σε τρίτα πρόσωπα. 6. Μην επιτρέπετε οποιαδήποτε παρεμβολή που αφορά στο περιεχόμενο της επικοινωνίας, εκτός εάν η εν λόγω παρεμβολή προβλέπεται από τον νόμο και εκτελείται από δημόσια αρχή. 7. Η συλλογή, η επεξεργασία και η αποθήκευση δεδομένων των χρηστών είναι θεμιτή μόνο όταν κρίνεται απαραίτητη για σαφείς, συγκεκριμένους και νόμιμους σκοπούς. 8. Μη διαβιβάζετε ή κοινοποιείτε δεδομένα εκτός εάν η επικοινωνία προβλέπεται από τον νόμο Μην αποθηκεύετε δεδομένα για χρονικό διάστημα μεγαλύτερο από αυτό που είναι απαραίτητο για να επιτευχθεί ο σκοπός της επεξεργασίας. 10. Μη χρησιμοποιείτε δεδομένα για ιδιοτελείς σκοπούς προώθησης/πώλησης υπηρεσιών ή/και αγαθών εκτός εάν το ενδιαφερόμενο άτομο έχει ενημερωθεί και δεν έχει εκφράσει αντίρρηση ή, στην περίπτωση της επεξεργασίας δεδομένων κίνησης ή ευαίσθητων δεδομένων, το ενδιαφερόμενο άτομο έχει δώσει τη ρητή συγκατάθεσή του. 11. Εσείς φέρετε την ευθύνη για την ορθή χρήση των δεδομένων. Στην εισαγωγική σας σελίδα τονίστε με σαφήνεια τη φράση «Πολιτική ιδιωτικότητας». Η φράση, αντίστοιχα, πρέπει να παραπέμπει σε ιστοσελίδα με αναλυτική επεξήγηση της πρακτικής ιδιωτικότητας που τηρείτε. 32

34 Να ενημερώστε τους χρήστες για την ταυτότητά σας, το είδος των δεδομένων που συλλέγετε, επεξεργάζεστε και αποθηκεύετε, τον τρόπο, το σκοπό και το χρονικό διάστημα τήρησης των δεδομένων προτού αρχίσουν να χρησιμοποιούν τις υπηρεσίες, κατά τη διάρκεια της επίσκεψής τους στον τόπο σας και οποτεδήποτε ρωτηθείτε. Εάν είναι απαραίτητο, να ζητάτε τη συγκατάθεσή τους. Να διορθώνετε άμεσα ανακριβή δεδομένα κατόπιν αιτήσεως των χρηστών. Να διαγράφετε δεδομένα εάν αυτά είναι υπερβολικά, «ξεπερασμένα» ή περιττά και να σταματάτε την εκτέλεση της επεξεργασίας εάν υπάρχουν αντιρρήσεις εκ μέρους των χρηστών. Να ειδοποιείτε τα τρίτα πρόσωπα προς τα οποία έχουν διαβιβαστεί ή κοινοποιηθεί τα δεδομένα για τυχόν τροποποιήσεις. Αποφύγετε την κρυφή συλλογή δεδομένων. 12. Οι πληροφορίες που δίνονται στους χρήστες πρέπει να είναι ακριβείς και ενημερωμένες. 13. Σκεφτείτε το καλά προτού δημοσιεύσετε δεδομένα στον διαδικτυακό σας τόπο! Η δημοσίευση μπορεί να καταπατά την ιδιωτικότητα άλλων προσώπων και ενδέχεται να απαγορεύεται από τον νόμο. Επίσης η προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής αποτελεί μια από τις σημαντικότερες παραμέτρους της ανάπτυξης του ηλεκτρονικού εμπορίου. Σε κάθε συναλλαγή ηλεκτρονικού εμπορίου συγκεντρώνονται πληροφορίες για τον πελάτη. Όμως, με την καταγραφή των προσωπικών δεδομένων του πελάτη, που γίνεται κατά εκούσιο τρόπο, ο φορέας παροχής υπηρεσιών έχει αυτόματα δημιουργήσει εικόνα για τα ενδιαφέροντα και τις συνήθειες του πελάτη. Τότε υπάρχει κίνδυνος να κάνει χρήση των δεδομένων αυτών με οποιοδήποτε τρόπο και για οποιοδήποτε σκοπό. Το πρόβλημα αυτό που συνδέεται με τον κίνδυνο διατάραξης της ιδιωτικής ζωής του κάθε πολίτη, μπορεί να κλονίσει το απαραίτητο κλίμα εμπιστοσύνης για την πραγματοποίηση συναλλαγών στο ηλεκτρονικό εμπόριο. Εντούτοις, στην Οδηγία για το Ηλεκτρονικό Εμπόριο δεν υπάρχει ειδική ρύθμιση για την προστασία των δεδομένων προσωπικού χαρακτήρα, καθώς υπάρχουν ήδη δύο Οδηγίες για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα: Η Οδηγία 95/46/ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών, και η Οδηγία 97/96/ΕΚ σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα. Τα προσωπικά δεδομένα και η ιδιωτική ζωή των πολιτών προστατεύονται από την Ευρωπαϊκή Ένωση. Τα στοιχεία των καταναλωτών, που αποθηκεύονται από τους φορείς παροχής υπηρεσιών, στα πλαίσια των συναλλαγών του ηλεκτρονικού εμπορίου είναι προσωπικά δεδομένα και άρα προστατεύονται από την Ευρωπαϊκή Ένωση μέσω της κοινοτικής Οδηγίας 95/46/ΕΚ καθώς και της Οδηγίας 2002/58/ΕΚ η οποία έχει τεθεί σε εφαρμογή για την αντικατάσταση της προηγούμενης Οδηγίας 97/96/ΕΚ Κοινοτική Οδηγία 95/46/Ε.Ε.. Η Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών έχει διπλό στόχο: την προστασία των θεμελιωδών δικαιωμάτων και της ιδιωτικής ζωής του ατόμου και την εξασφάλιση της ελεύθερης κυκλοφορίας των προσωπικών δεδομένων στα κράτη μέλη της Ευρωπαϊκής Ένωσης, για την επίτευξη οικονομικής και κοινωνικής προόδου και συνεργασίας, καθώς και τεχνικής και επιστημονικής συνεργασίας στην ολοένα αναπτυσσόμενη κοινωνία της πληροφορικής και των τηλεπικοινωνιών. Η Οδηγία 95/46/ΕΚ αποτελεί το κείμενο αναφοράς, σε ευρωπαϊκό επίπεδο, στα θέματα προστασίας των δεδομένων προσωπικού χαρακτήρα. Θεσπίζει ένα κανονιστικό πλαίσιο που αποσκοπεί στην εγκαθίδρυση μιας ισορροπίας μεταξύ ενός υψηλού επιπέδου προστασίας της 33

35 ιδιωτικής ζωής των προσώπων και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση. Η εν λόγω Οδηγία ορίζει ως «δεδομένα προσωπικού χαρακτήρα» κάθε πληροφορία που αναφέρεται σε φυσικό πρόσωπο του οποίου η ταυτότητα είναι γνωστή ή μπορεί να εξακριβωθεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα. Οι διατάξεις της παρούσας οδηγίας εφαρμόζονται στην αυτοματοποιημένη, εν όλο ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα (π.χ. πληροφοριακή βάση δεδομένων πελατών) καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο (παραδοσιακά αρχεία σε χαρτί). Κάθε κράτος μέλος εφαρμόζει τις εθνικές διατάξεις που θεσπίζει δυνάμει της παρούσας οδηγίας σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα, εφόσον η επεξεργασία εκτελείται στα πλαίσια των δραστηριοτήτων υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Συνεπώς η Ελλάδα είναι υπεύθυνη για την προστασία των δεδομένων προσωπικού χαρακτήρα που επεξεργάζονται οι οργανισμοί ηλεκτρονικού εμπορίου που είναι εγκατεστημένοι στα γεωγραφικά όρια της Ελλάδας. Στη συνέχεια ακολουθούν κάποιες γενικές προϋποθέσεις, που ορίζει η Οδηγία 95/46/ΕΚ, σχετικά με τη θεμιτή επεξεργασία δεδομένων προσωπικού χαρακτήρα: Αρχές που Πρέπει να Τηρούνται ως Προς την Ποιότητα των Δεδομένων Τα κράτη μέλη καθορίζουν τις προϋποθέσεις υπό τις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη. Προβλέπεται ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να υφίστανται σύννομη και θεμιτή επεξεργασία και να συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και η μεταγενέστερη επεξεργασία τους να συμβιβάζεται με τους σκοπούς αυτούς. Θα πρέπει εξάλλου τα δεδομένα αυτά να είναι ακριβή και, αν χρειάζεται, να ενημερώνονται. Βασικές Αρχές της Νόμιμης Επεξεργασίας Δεδομένων Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει τη ρητή συγκατάθεσή του ή αν η επεξεργασία είναι απαραίτητη: Για την εκτέλεση σύμβασης της οποίας το υπόψη πρόσωπο αποτελεί συμβαλλόμενο μέρος. Για την τήρηση νομικής υποχρέωσης στην οποία υπόκειται ο υπεύθυνος της επεξεργασίας. Για τη διαφύλαξη ζωτικού συμφέροντος του υπόψη προσώπου. Για την εκτέλεση αποστολής δημόσιου συμφέροντος. Για την υλοποίηση του θεμιτού συμφέροντος που επιδιώκεται από τον υπεύθυνο της επεξεργασίας. Ειδικές Κατηγορίες Επεξεργασίας Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνική καταγωγή, τις δημόσιες απόψεις, τις φιλοσοφικές ή θρησκευτικές πεποιθήσεις, τη συνδικαλιστική τοποθέτηση, καθώς και την επεξεργασία δεδομένων σχετικά με την υγεία και την ερωτική ζωή. Η διάταξη αυτή συνοδεύεται από επιφυλάξεις που αφορούν π.χ. την περίπτωση κατά την οποία η επεξεργασία είναι απαραίτητη για την υπεράσπιση των ζωτικών συμφερόντων του υπόψη προσώπου ή για σκοπούς προληπτικής ιατρικής και ιατρικής διάγνωσης. Ενημέρωση του Ενδιαφερόμενου Προσώπου Τα κράτη μέλη προβλέπουν ότι ο υπεύθυνος της επεξεργασίας ή ο εκπρόσωπός του πρέπει να παρέχει στο πρόσωπο από το οποίο συλλέγονται δεδομένα που το αφορούν πληροφορίες για την ταυτότητα του υπευθύνου της επεξεργασίας, για τους σκοπούς της επεξεργασίας για την οποία 34

36 προορίζονται τα δεδομένα καθώς και άλλες πληροφορίες, όπως για παράδειγμα τους αποδέκτες των δεδομένων κλπ. Εξαιρέσεις και Περιορισμοί Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται στην παρούσα οδηγία όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη της ασφάλειας του κράτους, της άμυνας, της δημόσιας ασφάλειας και της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού νόμου ή της δεοντολογίας των νομοθετικά κατοχυρωμένων επαγγελμάτων. Απόρρητο και Ασφάλεια της Επεξεργασίας Κάθε πρόσωπο που ενεργεί υπό την εξουσία του υπευθύνου της επεξεργασίας δεν δύναται να επεξεργαστεί τα προσωπικά δεδομένα παρά κατόπιν εντολής του υπευθύνου επεξεργασίας. Εξάλλου, ο υπεύθυνος της επεξεργασίας θα πρέπει να εφαρμόζει τα ενδεδειγμένα μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα έναντι τυχαίας ή παράνομης καταστροφής, τυχαίας απώλειας, αλλοίωσης, διάδοσης ή πρόσβασης χωρίς άδεια. Τα κράτη μέλη προβλέπουν ότι κάθε πρόσωπο θα πρέπει να έχει τη δυνατότητα νομικής προσφυγής στην περίπτωση παραβίασης των δικαιωμάτων που εγγυώνται οι εθνικές διατάξεις οι οποίες ισχύουν για τη σχετική επεξεργασία δεδομένων. Εξάλλου, τα άτομα που έχουν υποστεί βλάβη λόγω μιας παράνομης επεξεργασίας των προσωπικών τους δεδομένων έχουν το δικαίωμα να επιτύχουν αποκατάσταση της ζημίας που υπέστησαν. Επιτρέπονται οι μεταβιβάσεις δεδομένων προσωπικού χαρακτήρα από κράτος μέλος σε τρίτη χώρα, υπό την προϋπόθεση ότι η εν λόγω τρίτη χώρα διαθέτει το κατάλληλο επίπεδο προστασίας. Αντίθετα, οι εν λόγω μεταβιβάσεις δεν μπορούν να πραγματοποιηθούν προς τρίτες χώρες οι οποίες δεν διαθέτουν το κατάλληλο επίπεδο προστασίας, εκτός από συγκεκριμένες περιπτώσεις παρέκκλισης οι οποίες απαριθμούνται περιοριστικά. Κάθε κράτος μέλος προβλέπει τη δημιουργίας μίας ή περισσότερων ανεξάρτητων κρατικών αρχών οι οποίες επιφορτίζονται με την εποπτεία της εφαρμογής, στο εθνικό έδαφος, των εθνικών διατάξεων που έχουν θεσπιστεί από τα κράτη μέλη, κατ' εφαρμογή της παρούσας οδηγίας Κοινοτική Οδηγία 2002/58/Ε.Ε.. (Για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών ) Η Οδηγία 2002/58/ΕΚ αναθεωρεί και αναπροσαρμόζει την προηγούμενη Οδηγία 97/96/ΕΚ περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα, προκειμένου να ληφθούν υπόψη οι νέες υπηρεσίες και τεχνολογικές εξελίξεις. Η Οδηγία 2002/58/ΕΚ αποτελεί βασικό στοιχείο του κανονιστικού πλαισίου που επιδιώκει να εξασφαλίσει τη συνέχιση της ανάπτυξης του τομέα ηλεκτρονικών επικοινωνιών, με οφέλη για το σύνολο των εταιρειών και των ιδιωτών που χρησιμοποιούν τις υπηρεσίες ηλεκτρονικών επικοινωνιών.. Η εν λόγω Οδηγία επιβάλλει τη θέσπιση ειδικών νομικών και τεχνικών διατάξεων για την προστασία βασικών δικαιωμάτων και ελευθεριών. Η δυνατότητα προστασίας των δεδομένων προσωπικού χαρακτήρα των χρηστών αποτελεί προϋπόθεση για την ανάπτυξη του ηλεκτρονικού εμπορίου. Με την Οδηγία 2002/58/ΕΚ εναρμονίζονται οι διατάξεις των κρατών μελών οι οποίες απαιτούνται προκειμένου να διασφαλίζεται ισοδύναμο επίπεδο προστασίας των θεμελιωδών 35

37 δικαιωμάτων και ελευθεριών, ιδίως το δικαίωμα στην ιδιωτική ζωή, όσον αφορά την επεξεργασία προσωπικών δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών, καθώς και να διασφαλίζεται η ελεύθερη κυκλοφορία των δεδομένων αυτών και των εξοπλισμών και υπηρεσιών ηλεκτρονικών επικοινωνιών στην Ευρωπαϊκή Ένωση. Η Οδηγία λοιπόν για την προστασία προσωπικών δεδομένων στηρίζεται στις εξής βασικές αρχές: Η επεξεργασία προσωπικών δεδομένων πρέπει να είναι πάντοτε θεμιτή και νόμιμη. Τα προσωπικά δεδομένα πρέπει πάντα να συλλέγοντας για ρητώς καθορισμένους και νόμιμους σκοπούς και να χρησιμοποιούνται ανάλογα. Τα προσωπικά δεδομένα πρέπει να είναι κατάλληλα και να μην υπερβαίνουν τα απολύτως αναγκαία για τους σκοπούς της επεξεργασίας τους Τα δεδομένα που αποκαλύπτουν την ταυτότητα των προσώπων δεν πρέπει να φυλάσσονται για περισσότερο χρόνο απ' όσο είναι απαραίτητο Τα δεδομένα πρέπει να είναι ακριβή και, όπου χρειάζεται, να ενημερώνονται Οι κάτοχοι δεδομένων οφείλουν να παρέχουν στα πρόσωπα που αφορούν τα δεδομένα αυτά εύλογα μέσα για τη διόρθωση, τη διαγραφή ή τη δέσμευση ανακριβών δεδομένων Πρέπει να λαμβάνονται τα ενδεδειγμένα τεχνικά και οργανωτικά μέτρα για την αποτροπή της παράνομης ή χωρίς άδεια επεξεργασίας προσωπικών δεδομένων Τα προσωπικά δεδομένα δεν πρέπει να μεταφέρονται σε χώρες ή επικράτειες εκτός του Ευρωπαϊκού Οικονομικού Χώρου, εκτός εάν αυτές εγγυώνται "επαρκές επίπεδο προστασίας" για τα πρόσωπα που αφορούν τα δεδομένα Η οδηγία επιβάλλει επίσης στα κράτη μέλη την υποχρέωση να συστήσουν μία η περισσότερες ανεξάρτητες εποπτικές Αρχές για να παρακολουθούν την εφαρμογή της. Ένα από τα καθήκοντα αυτών των Αρχών είναι να τηρούν ενημερωμένο δημόσιο μητρώο, ώστε το κοινό να μπορεί να γνωρίζει τα ονόματα όλων των κατόχων προσωπικών δεδομένων και το είδος της επεξεργασίας στην οποία τα υποβάλλουν. Επίσης ο φορέας παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, οφείλει να λαμβάνει από κοινού με τους φορείς παροχής δημόσιων δικτύων επικοινωνιών, καθόσον αφορά την ασφάλεια του δικτύου, τα ενδεδειγμένα τεχνικά και οργανωτικά μέσα προκειμένου να προστατεύεται η ασφάλεια των υπηρεσιών του. Οι εν λόγω φορείς υποχρεώνονται να ενημερώνουν τους συνδρομητές σε περίπτωση που υπάρχει ιδιαίτερος κίνδυνος για την ασφάλεια του δικτύου. - η επεξεργασία Απόρρητο των Επικοινωνιών Το απόρρητο των επικοινωνιών που διενεργούνται μέσω δημόσιου δικτύου επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, αποτελεί βασικό δικαίωμα του πολίτη και ως τέτοιο κατοχυρώνεται από την εκάστοτε ισχύουσα εθνική νομοθεσία. Γενικά, στο πλαίσιο της διασφάλισης του απορρήτου απαγορεύεται η ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακολούθησης ή επιτήρησης των επικοινωνιών και των συναφών δεδομένων κίνησης από πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερόμενων χρηστών, εκτός αν υπάρχει σχετική νόμιμη άδεια (π.χ. για περιπτώσεις της δημόσιας ασφάλειας). Η πιο πάνω απαγόρευση δεν επηρεάζει οποιαδήποτε επιτρεπόμενη από το νόμο καταγραφή συνδιαλέξεων όταν πραγματοποιούνται κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής με σκοπό την παροχή αποδεικτικών στοιχείων μιας εμπορικής συναλλαγής. Δεδομένα Κίνησης Τα δεδομένα κίνησης που αφορούν συνδρομητές και χρήστες, τα οποία υποβάλλονται σε επεξεργασία και αποθηκεύονται από τους φορείς παροχής υπηρεσιών ηλεκτρονικών επικοινωνιών, 36

38 πρέπει να απαλείφονται όταν δεν είναι πλέον απαραίτητα για το σκοπό της μετάδοσης μιας επικοινωνίας. Ο φορέας παροχής υπηρεσιών πρέπει να ενημερώνει το χρήστη σχετικά με τον τύπο των δεδομένων κίνησης που υποβάλλονται σε επεξεργασία και τη διάρκεια της επεξεργασίας αυτής, προτού ο χρήστης δώσει τη συγκατάθεση του για αυτή την επεξεργασία. Δεδομένα Θέσης εκτός των Δεδομένων Κίνησης Διασφαλίζεται η προστασία της ιδιωτικής ζωής για τους χρήστες όσον αφορά τις υπηρεσίες πληροφοριών θέσης κινητών συσκευών. Η επεξεργασία των συναφών δεδομένων επιτρέπεται μόνο με τη ρητή συγκατάθεση του χρήστη, ο οποίος πρέπει να ενημερώνεται για το είδος, τους σκοπούς και τη διάρκεια της επεξεργασίας.[1] 2.3 Προστασία Προσωπικών Δεδομένων Στην Ελλάδα. "Κάθε πολίτης πρέπει να είναι σε θέση να γνωρίζει κάθε στιγμή ποιος, πού, πότε, πώς και γιατί επεξεργάζεται τα προσωπικά του στοιχεία". Στην Ελλάδα έχει ιδρυθεί και λειτουργεί από το Νοέμβριο του 1997 ως ανεξάρτητη διοικητική υπηρεσία η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, με βάση το Νόμο 2472/97. Αποστολή της Αρχής Προστασίας Δεδομένων είναι η εποπτεία της εφαρμογής των νόμων και άλλων ρυθμίσεων που αφορούν στην προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Τα δεδομένα που συλλέγουν οι οργανισμοί ηλεκτρονικού εμπορίου για τους πελάτες τους, στα πλαίσια πραγματοποίησης ηλεκτρονικών συναλλαγών, αποτελούν προσωπικά δεδομένα και συνεπώς προστατεύονται από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Συγκεκριμένα κάθε οργανισμός ηλεκτρονικού εμπορίου υπόκειται σε έλεγχο από την εν λόγω Αρχή. Η Αρχή αυτή έχει τις εξής αρμοδιότητες: Να εκδίδει οδηγίες και κανονιστικές πράξεις για την εφαρμογή των διατάξεων που αφορούν στην προστασία προσωπικών δεδομένων και να γνωμοδοτεί για σχετικά θέματα. Να απευθύνει συστάσεις και υποδείξεις στους υπεύθυνους επεξεργασίας και να επιβάλλει/βοηθάει όσους διατηρούν αρχεία να καταρτίζουν κώδικες δεοντολογίας. Να καταγγέλλει τις παραβάσεις στις αρμόδιες διοικητικές και δικαστικές αρχές αλλά και να επιβάλλει κυρώσεις. Να ενεργεί, αυτεπαγγέλτως ή κατόπιν καταγγελίας, ελέγχους σε κάθε αρχείο. Στη χώρα μας, το βασικό νομικό πλαίσιο για την προστασία των προσωπικών δεδομένων, καθορίζεται από τους νόμους 2472/97 (Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα) και 3471/06 (Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών και τροποποίηση του Ν. 2472/97), ενώ ο Νόμος 2774/1999 για την προστασία δεδομένων προσωπικού χαρακτήρα στον τηλεπικοινωνιακό τομέα καταργήθηκε στις 29 Ιουλίου Ο Νόμος 2472/97 ενσωματώνει στο ελληνικό δίκαιο την ευρωπαϊκή οδηγία 95/46/ΕΚ και αναφέρεται στην "Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα". Αντικείμενο του νόμου είναι η θέσπιση των προϋποθέσεων για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για την προστασία των δικαιωμάτων και των θεμελιωδών ελευθεριών των φυσικών προσώπων και ιδίως της ιδιωτικής ζωής. Με λίγα λόγια καθορίζει τις 37

39 υποχρεώσεις των φορέων και των υπηρεσιών που "εκτελούν την επεξεργασία" και θέτει τα δικαιώματα προστασίας των ατόμων, όσον αφορά την προστασία και διαφύλαξη των προσωπικών τους δεδομένων. Με βάση το νόμο 2472/97: Η επεξεργασία προσωπικών πληροφοριών είναι επιτρεπτή μόνο στις περιπτώσεις που ο νόμος προσδιορίζει περιοριστικά και δεσμευτικά. Η επεξεργασία επιτρέπεται μόνο για νόμιμους, θεμιτούς και εξειδικευμένους σκοπούς που είναι γνωστοί στον πολίτη. Αναγνωρίζονται και κατοχυρώνονται νέα δικαιώματα των πολιτών για να αμύνονται έναντι των προσβολών της ιδιωτικής ζωής και της προσωπικότητας τους (δικαίωμα προηγούμενης πληροφόρησης, διόρθωσης, αποζημίωσης). Οι ρυθμίσεις του νόμου 2472/97 συμπληρώθηκαν από το Νόμο 3471/06 (Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών). Ο νόμος αυτός κατοχύρωσε σημαντικά δικαιώματα των συνδρομητών και χρηστών τηλεπικοινωνιακών υπηρεσιών Κανονισμοί Α.Δ.Α.Ε.. Η Αρχή Διασφάλισης Απορρήτου Επικοινωνιών (ΑΔΑΕ) είναι ένας νέος φορέας που λειτουργεί με βάσει το Ν. 3115/2003 με σκοπό την προστασία του απορρήτου των επιστολών και της ελεύθερης ανταπόκρισης ή επικοινωνίας με οποιοδήποτε άλλο τρόπο, καθώς και την ασφάλεια των δικτύων και των πληροφοριών. Η ΑΔΑΕ είναι Ανεξάρτητη Αρχή που απολαμβάνει διοικητικής αυτοτέλειας. Έδρα της ΑΔΑΕ είναι η Αθήνα, αλλά μπορεί με απόφαση της να εγκαθιστά και να λειτουργεί γραφεία και σε άλλες πόλεις της Ελλάδας. Οι αποφάσεις της ΑΔΑΕ κοινοποιούνται στον Υπουργό Δικαιοσύνης και στο τέλος κάθε χρόνου υποβάλλεται έκθεση των πεπραγμένων της στη Βουλή. Η ΑΔΑΕ υπόκειται σε κοινοβουλευτικό έλεγχο κατά τον τρόπο και τη διαδικασία που κάθε φορά προβλέπεται από τον κανονισμό της Βουλής. Η ΑΔΑΕ για την εκπλήρωση της αποστολής της έχει τις ακόλουθες αρμοδιότητες: Διενέργεια αυτεπάγγελτων ελέγχων σε επιχειρήσεις και υπηρεσίες που έχουν γενικό αντικείμενο την επικοινωνία. Κατάσχεση ψηφιακών πειστηρίων, καταστροφή στοιχείων που αποκτήθηκαν με παράνομη παραβίαση του απορρήτου των επικοινωνιών. Εξέταση καταγγελιών σχετικά με την προστασία των δικαιωμάτων των αιτούντων. Συνεργασία με άλλες αρχές της χώρας και με αντίστοιχες αρχές άλλων κρατών, για θέματα ασφάλειας επικοινωνιών. Έκδοση κανονισμού εσωτερικής λειτουργίας, ο οποίος δημοσιεύεται στην εφημερίδα της Κυβερνήσεως. Έκδοση κανονιστικών πράξεων, μέσω των οποίων ρυθμίζεται κάθε διαδικασία και λεπτομέρεια σε σχέση με τις αρμοδιότητες της Αρχής. Σύνταξη, μια φορά το χρόνο, έκθεσης πεπραγμένων, στην οποία περιγράφεται το έργο της Αρχής, διατυπώνονται παρατηρήσεις και προτείνονται νομοθετικές μεταβολές στον τομέα διασφάλισης του απορρήτου των επικοινωνιών. 38

40 Το ηλεκτρονικό εμπόριο βασίζεται στην επικοινωνία των πελατών με τους οργανισμούς που προσφέρουν υπηρεσίες ηλεκτρονικού εμπορίου. Για να γίνει μια ηλεκτρονική συναλλαγή, πρέπει πρώτα να επικοινωνήσει ο πελάτης με τον έμπορα, να δώσει τα προσωπικά του στοιχεία, τον αριθμό της πιστωτικής του κάρτας και να λάβει πληροφορίες σχετικές με τη συναλλαγή. Είναι προφανές ότι η επικοινωνία αυτή πρέπει να είναι απόρρητη, αφού σε καμιά περίπτωση τα προσωπικά στοιχεία του πελάτη και ιδιαίτερα οι αριθμοί των πιστωτικών του καρτών δεν πρέπει να γνωστοποιούνται σε τρίτους. Όπως αναφέρθηκε πιο πάνω, σκοπός της ΑΔΑΕ είναι η προστασία του απορρήτου των επικοινωνιών. Συνεπώς κάθε οργανισμός ηλεκτρονικού εμπορίου υπόκειται σε έλεγχο από την ΑΔΑΕ. Η ΑΔΑΕ έχει εκδώσει κάποιους κανονισμούς για τη διασφάλιση του απορρήτου των επικοινωνιών και κάθε οργανισμός ηλεκτρονικού εμπορίου, σύμφωνα με τα παραπάνω, πρέπει να τους ακολουθεί. Η ΑΔΑΕ ελέγχει τους οργανισμούς ηλεκτρονικού εμπορίου για την τήρηση των κανόνων, και η ίδια ελέγχεται από το κράτος. Η ΑΔΑΕ έχει εκδώσει και δημοσιεύσει στην εφημερίδα της κυβερνήσεως κανονισμούς ασφαλείας για το διαδίκτυο, τη διασφάλιση απορρήτου τηλεπικοινωνιακής υποδομής, την κινητή και σταθερή τηλεφωνία, το θεσμικό πλαίσιο για την ασφάλεια, καθώς και την ασφάλεια για αυτόματες τραπεζικές συναλλαγές. Με δεδομένο ότι το μεγαλύτερο μέρος του ηλεκτρονικού εμπορίου πραγματοποιείται μέσω του διαδικτύου, κάθε οργανισμός ηλεκτρονικού εμπορίου πρέπει να συμμορφώνεται και να τηρεί τους κανονισμούς ασφαλείας για το διαδίκτυο. Συγκεκριμένα θα πρέπει να ακολουθεί τουλάχιστον τους κανονισμούς που περιγράφονται στη συνέχεια με λεπτομέρεια, οι οποίοι δημοσιεύθηκαν στις 26 Ιανουαρίου 2005 στην εφημερίδα της κυβερνήσεως.[3], [2] Κανονισμός για τη Διασφάλιση του Απορρήτου στις Διαδικτυακές Επικοινωνίες και τις Συναφείς Υπηρεσίες και Εφαρμογές Σκοπός του συγκεκριμένου Κανονισμού είναι: Η διασφάλιση του απορρήτου των διαδικτυακών επικοινωνιών. Η ασφάλεια των διαδικτυακών τηλεπικοινωνιακών φορέων και Δημοσίων οργανισμών. Η θέσπιση των υποχρεώσεων των εν λόγω φορέων αναφορικά με την ασφάλεια και το απόρρητο των επικοινωνιών. Ο έλεγχος στους εν λόγω φορείς σχετικά με τις ανωτέρω αναφερόμενες υποχρεώσεις τους. Στις διατάξεις του Κανονισμού εμπίπτουν όλοι οι Τηλεπικοινωνιακοί Φορείς Διαδικτύου και οι Δημόσιοι Οργανισμοί και ιδιαίτερα οι: Πάροχοι πρόσβασης στο Διαδίκτυο (σταθεροί και κινητοί τηλεπικοινωνιακοί πάροχοι, Internet Service Providers κλπ.). Πάροχοι διαδικτυακών υπηρεσιών. Πάροχοι διαδικτυακών υπηρεσιών προστιθέμενης αξίας. Οι οργανισμοί ηλεκτρονικού εμπορίου είναι πάροχοι διαδικτυακών υπηρεσιών, αφού οι ηλεκτρονικές συναλλαγές πραγματοποιούνται μέσω του διαδικτύου. Συνεπώς οι οργανισμοί αυτοί πρέπει να εφαρμόζουν τον συγκεκριμένο Κανονισμό. Η ΑΔΑΕ ελέγχει του οργανισμούς αυτούς για την τήρηση του εν λόγω, και όχι μόνο, Κανονισμού. 39

41 Οδηγίες Ευρωπαϊκού Συμβουλίου και Κοινοβουλίου Οδηγία 95/46/ΕΚ Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και της ελεύθερη κυκλοφορία αυτών Οδηγία 2002/58/ΕΚ Προστασία της επεξεργασίας των προσωπικών δεδομένων και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Σύσταση Αρ. R (99) 5 Θεσμικό πλαίσιο Νόμος 2472/97 Νόμος 3471/06 Προστασία της ιδιωτικότητας στο διαδίκτυο Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα Προστασία δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών. Α.Δ.Α.Ε. Προστασία του απορρήτου των επιστολών, της ελεύθερης επικοινωνίας και της ασφάλειας των δικτύων και των πληροφοριών. Πίνακας 2.1: Νομοθετικές Ρυθμίσεις. 40

42 Κεφάλαιο 3 Διαδικτυακά Εγκλήματα. Τα μέτρα για την ασφαλή πλοήγηση έχουν αφετηρία υπηρεσίες του παροχέα (provider) πρόσβασης στο διαδίκτυο. Ένας καλός παροχέας μπορεί να προσφέρει φιλτράρισμα των ιστοσελίδων που επισκέπτεται φιλτράρισμα των επισυναπτόμενων αρχείων στα s που δέχεται ο χρήστης-πελάτης. Είναι ωστόσο συχνές οι περιπτώσεις κατά τις οποίες σελίδες που περιέχουν ακατάλληλο υλικό δεν περιέχουν τις λέξεις που φιλτράρουν τα προγράμματα αυτά ή δεν έχουν καταχωρηθεί στην μαύρη λίστα. Αντιθέτως, ιστοσελίδες που δεν περιέχουν ακατάλληλο υλικό μπορεί να απαγορεύονται επειδή περιέχουν λέξεις που φιλτράρει το πρόγραμμα. Σε αυτές τις περιπτώσεις είναι καλό ο χρήστης να ενημερώνει τον διαχειριστή του προγράμματος (Cachemaster). Ωστόσο ακόμα και οι καλύτερες υπηρεσίες ενός παροχέα σύνδεσης δεν εξασφαλίζουν τον χρήστη από τους κινδύνους που ελλοχεύουν κατά την πλοήγηση αν ο ίδιος δεν λάβει τα κατάλληλα μέτρα προστασίας και δεν υιοθετήσει μια πολύ προσεκτική συμπεριφορά. Ο βασικότερος κανόνας είναι η προσεκτική ανάγνωση όλων των μηνυμάτων που εμφανίζονται στην οθόνη του υπολογιστή. Ο χρήστης δε θα πρέπει σε καμία περίπτωση να κάνει κλικ στο «Ναι» ή το «Όχι» των παραθύρων χωρίς να διαβάζει το περιεχόμενό τους, ενώ θα πρέπει να κλείνει το παράθυρο χωρίς να κάνει κλικ, όταν δεν το καταλαβαίνει. Πολλές φορές κατά την πλοήγηση ανοίγουν, χωρίς να το προκαλέσει ο χρήστης, παράθυρα (pop up windows) των οποίων το περιεχόμενο ποικίλει. Αυτό μπορεί να είναι: Διαφημίσεις. Προειδοποιητικά μηνύματα που καλούν τον χρήστη να προβεί σε ενέργειες (αποδεχόμενος συγκεκριμένες προσφορές) με άγνωστες ή επικίνδυνες για αυτόν συνέπειες. Κάλεσμα για παιγνίδια είτε κανονικά είτε τυχερά. Δωρεές. Δεσμοί σε σελίδες πορνογραφικού περιεχομένου και γενικά ποικιλία δελεαστικών προτάσεων. Η ενδεδειγμένη ενέργεια είναι να κλείνουν άμεσα αυτά τα παράθυρα. Η εμφάνιση τέτοιων παραθύρων μπορεί να αποφευχθεί χρησιμοποιώντας κατάλληλα προγράμματα (pop up blockers/ killers), τα οποία προσφέρονται στο διαδίκτυο. Επισημαίνεται ότι η χρήση τέτοιων προγραμμάτων μπορεί να εμποδίσει την πρόσβαση σε κάποιες, χρήσιμες κατά τα άλλα, ιστοσελίδες. Μία τέτοια περίπτωση είναι αυτή κατά την οποία έγκυρες εταιρείες προσφέρουν μέσω pop up παραθύρων προγράμματα εφαρμογών απαραίτητα για τη σωστή εμφάνιση ενός πλήθους ιστοσελίδων (π.χ. Flash Player από την Macromedia, mwpluggin από την LCSI για το Microworlds κ.λ.π.). Σε αυτή την περίπτωση οι χρήστες μπορούν προσωρινά να απενεργοποιήσουν τον blocker. 41

43 3.1 Στην Ηλεκτρονική Αλληλογραφία ( ). Το ηλεκτρονικό ταχυδρομείο αποτελεί μια από τις πιο δημοφιλείς υπηρεσίες του Διαδικτύου προσφέροντας οικονομική και ταχύτατη επικοινωνία με εκατομμύρια ανθρώπους σε ολόκληρο τον κόσμο, όμως ακόμα και σήμερα τα περισσότερα προγράμματα αποστολής και λήψης δεν εγγυώνται σε καμία περίπτωση τη διασφάλιση του προσωπικού απορρήτου του χρήστη ούτε και την ακεραιότητα της λειτουργίας του συστήματός του. Διατίθεται συνήθως από τις εταιρείες παροχής σύνδεσης με το Internet ως πρόσθετη υπηρεσία και συνοδεύεται από ιδιαίτερο κωδικό. Οι χρήστες μπορούν να ανταλλάσσουν μεταξύ τους μηνύματα, στα οποία είναι δυνατόν να επισυνάπτονται αρχεία κάθε τύπου. Τα μηνύματα αυτά ξεκινούν από τον υπολογιστή του αποστολέα και, μέσω των δαιδαλωδών διαδρομών του Διαδικτύου, φτάνουν στον παραλήπτη σε διάστημα λίγων λεπτών. Πιο συγκεκριμένα κύριος φορέας των μηνυμάτων είναι το πρωτόκολλο επικοινωνίας SMTP (Simple Mail Transfer Protocol). Το SMTP αναλαμβάνει τη μεταφορά μηνυμάτων από το μηχάνημα του χρήστη σε ένα διακομιστή αλληλογραφίας (mail server), καθώς και την προώθησή του από έναν mail server σε κάποιον άλλο. Κάθε εταιρεία παροχής ιντερνετικών υπηρεσιών (Internet Service Provider, ISP) διαθέτει έναν ή περισσότερους διακομιστές αλληλογραφίας, οι οποίοι είναι υπεύθυνοι για την αποθήκευση και την αποστολή των μηνυμάτων. Όταν ένας χρήστης συνδέεται τηλεφωνικά (dialup) με τον ISP του, μπορεί να «κατεβάσει» την αλληλογραφία του από τον mail server του ISP στον υπολογιστή του, με τη βοήθεια του πρωτοκόλλου POP (Post Office Protocol) ή του IMAP (Internet Message Access Protocol). Ωστόσο ο χρήστης του ηλεκτρονικού ταχυδρομείου πρέπει να είναι ιδιαίτερα προσεκτικός και να λαμβάνει αυξημένα μέτρα προστασίας, καθώς η ευρύτατη διάδοσή του και χρήση του το καθιστούν μια από τις πιο ευάλωτες υπηρεσίες του Διαδικτύου απέναντι σε κακόβουλους χρήστες. Είναι ιδιαίτερα σημαντικό να διαχειριστεί τη διεύθυνση της ηλεκτρονικής του αλληλογραφίας με την ίδια προσοχή που διαχειρίζεται τον αριθμό του τηλεφώνου του. Μερικά από τα σημαντικότερα προβλήματα που μπορεί να αντιμετωπίσει ένας χρήστης ηλεκτρονικού ταχυδρομείου είναι τα παρακάτω: Ιοί. Η μετάδοση ιών μέσω ηλεκτρονικού ταχυδρομείου είναι και ο συνηθέστερος τρόπος διάδοσής τους. Οι ιοί επικολλώνται συνήθως στα συνημμένα αρχεία των μηνυμάτων και μολύνουν τον υπολογιστή του χρήστη, μόλις αυτός ανοίξει το συνημμένο αρχείο. Δε θα πρέπει λοιπόν οι χρήστες να ανοίγουν ποτέ μηνύματα τα οποία προέρχονται από άγνωστο αποστολέα, ιδιαίτερα αν αυτά περιέχουν συνημμένα αρχεία (συνήθως με κατάληξη.exe,.com,.vbs,.dll,.sh,.bat κ.ά.), ενώ πιθανόν να περιέχουν καταστροφικό κώδικα (μήνυμα μορφής.html) που ενεργοποιείται αυτόματα με την ανάγνωση του . Θα πρέπει να είναι ιδιαίτερα επιφυλακτικοί ακόμα και απέναντι σε μηνύματα που προέρχονται από γνωστό αποστολέα, αλλά με ύποπτο θέμα. Για αυτό το λόγο είναι καλό να απενεργοποιείται η προεπισκόπηση στα εισερχόμενα μηνύματα, ώστε αυτά να μην ανοίγουν αυτόματα (στο outlook express επιλέξτε Προβολή->Διάταξη->απενεργοποίηση του «εμφάνιση παραθύρου προεπισκόπησης»). Σε κάθε περίπτωση επιβάλλεται ο έλεγχος της αλληλογραφίας (εισερχόμενης και εξερχόμενης) από ένα καλό αντιβιοτικό πρόγραμμα, το οποίο θα ενημερώνεται συνεχώς. 42

44 Ενοχλητική αλληλογραφία (spam mail). Από τα πρώτα δυσάρεστα εμπόδια που κλήθηκαν (και καλούνται) να αντιμετωπίσουν οι χρήστες του Internet ήταν και είναι το spam mail. Τα τελευταία χρόνια, μάλιστα, έχει αποκτήσει και παρέα: τα διαδοχικά pop-up windows με διαφημιστικά banners που αφαιρούν από το web την βασική του γοητεία: την πλοήγηση. Είναι το λεγόμενο spam ή junk mail, δηλαδή μηνύματα με ενοχλητικό ή και δυσάρεστο για τον παραλήπτη περιεχόμενο. Στο spam mail συγκαταλέγονται ανεπιθύμητες διαφημίσεις για προϊόντα, υπηρεσίες και ιστοχώρους, καθώς επίσης και διάφοροι άλλοι τύποι (π.χ. ανεπιθύμητα newsletters).τα μηνύματα αυτά αποτελούν μία πρακτική που απαγορεύεται από την Δεοντολογία του Διαδικτύου και από τις νομοθεσίες των περισσότερων ευρωπαϊκών κρατών. Αυτό συμβαίνει γιατί τίθεται σε κίνδυνο η ασφάλεια των προσωπικών δεδομένων των χρηστών του Διαδικτύου και κινδυνεύει η ασφάλεια των δικτύων. Ο χρήστης θα πρέπει να προσέχει ιδιαίτερα να μην απαντάει σε μηνύματα τέτοιου είδους, ούτε και σε αυτά με την ένδειξη "remove me from the mailing list", τα οποία αντί να αποσύρουν την ηλεκτρονική του διεύθυνση, όπως υπόσχονται, επιβεβαιώνουν ότι είναι ενεργή και συνεχίζουν να βομβαρδίζουν τα εισερχόμενα του χρήστη με μεγαλύτερη συχνότητα. Ο χρήστης μπορεί να χρησιμοποιήσει τα φίλτρα που του προσφέρουν τα περισσότερα web mail για να διαγράφει τα μηνύματα αυτά, ή να ρυθμίσει κατάλληλα το πρόγραμμα διαχείρισης αλληλογραφίας του υπολογιστή του (συνηθέστερα το outlook express), μέσω των επιλογών που δίνονται από τις καρτέλες στο μενού του προγράμματος. Επίσης, στο Διαδίκτυο υπάρχουν προγράμματα καταπολέμησης των spam mails, τα οποία μπορούν να εγκατασταθούν τοπικά και να ελέγχουν την εισερχόμενη αλληλογραφία του χρήστη. Ειδικότερα, το McAfee SpamKiller διακρίνεται από εξαιρετική δυνατότητα ανίχνευσης και παρεμπόδισης του spam mail, κάτι που οφείλεται στα προηγμένα τεχνολογικά "έξυπνα" φίλτρα που χρησιμοποιεί τα οποία με την σειρά τους βασίζονται σε συνδυασμούς κριτηρίων που αφορούν στον έλεγχο του περιεχομένου του μηνύματος, τη διεύθυνση του αποστολέα, το θέμα του μηνύματος, αλλά ακόμα και την προέλευσή του (χώρα προέλευσης, κόμβος - στοιχεία που προκύπτουν μέσα από την ανάλυση των headers του μηνύματος Μηνύματα απατηλού περιεχομένου (hoaxes). Πρόκειται για ενοχλητικού τύπου μηνύματα ηλεκτρονικού ταχυδρομείου: 1. «Προειδοποιητικά»: είτε ειδοποιούν στο χρήστη για την ύπαρξη ιού ή άλλου τύπου απειλής στο λειτουργικό του σύστημα και τον συμβουλεύουν να προβεί σε ορισμένες ενέργειες, είτε προειδοποιούν για πιθανές επιθέσεις από ιούς, που στην πραγματικότητα δεν αποτελούν απειλή για το σύστημα 2. «Συμπαράστασης»: παρουσιάζουν υποθετικά προβλήματα κάποιου ανθρώπου (συχνότατα αναφορές σε παιδιά που πάσχουν από σοβαρές ασθένειες) και ζητούν την κινητοποίηση όσο περισσότερων χρηστών γίνεται 3. «Εκφοβισμού» : οποιουδήποτε τύπου αλυσιδωτές επιστολές που εκφοβίζουν το χρήστη ότι θα του συμβεί κάτι αν δεν προωθήσει το μήνυμα και σε άλλους χρήστες. Ο ουσιαστικός κίνδυνος από αυτά τα μηνύματα είναι κυρίως η τεράστια διάδοσή τους και, κατά συνέπεια, η επιβάρυνση των λογαριασμών των χρηστών με άχρηστα μηνύματα. Εκτός αυτού, δημοσιοποιούνται ευρέως και πολλές διευθύνσεις ηλεκτρονικού ταχυδρομείου, καθιστώντας τους ιδιοκτήτες τους ευκολότερα θύματα κάθε τέτοιου είδους ενοχλήσεως. Τα μηνύματα αυτού του τύπου συνοδεύονται συχνά από την τυποποιημένη φράση «στείλτε αυτό το μήνυμα σε όσο περισσότερους χρήστες γνωρίζετε» ("send this to everyone you know"). Στην περίπτωση των «προειδοποιητικών» μηνυμάτων εμφανίζονται ως αποστολείς μεγάλες και 43

45 γνωστές εταιρείες, με σκοπό να ξεγελάσουν το χρήστη και να τον κάνουν να εμπιστευτεί το περιεχόμενο του μηνύματος. Ο χρήστης πρέπει να αγνοήσει όλα τα μηνύματα τέτοιου τύπου, να τα διαγράψει χωρίς φόβο και, κυρίως, να μην τα προωθήσει σε γνωστούς του και προκαλεί άνευ λόγου πανικό. Τα γνωστά αντιβιοτικά προγράμματα συνήθως φιλτράρουν τα καταγεγραμμένα μηνύματα αυτού του είδους, ενώ είναι αρκετές οι εταιρείες που ζητούν από τους χρήστες των προγραμμάτων τους να τις ενημερώνουν όταν δέχονται τέτοιου είδους μηνύματα, για να προβούν στις κατάλληλες ενέργειες ενημέρωσης των αντιβιοτικών τους προγραμμάτων.[29] Τρόπος Προστασίας προσωπικών δεδομένων στην Ηλεκτρονική Αλληλογραφία. Ο χρήστης των προγραμμάτων αλληλογραφίας πρέπει να είναι ιδιαίτερα προσεκτικός και να μην αναφέρει ποτέ σε μηνύματα προσωπικά του στοιχεία, καθώς και αριθμούς πιστωτικών καρτών ή οποιαδήποτε άλλα δεδομένα. Τα s είναι από τους συνηθέστερους στόχους των κάθε είδους hackers, οι οποίοι μπορούν να υποκλέψουν όλα τα στοιχεία. Γενικά είναι καλό να αλλάζει τακτικά ο κωδικός πρόσβασης του λογαριασμού . Ιδιαίτερη προσοχή χρειάζεται η διαχείριση λογαριασμών web mail, οι οποίοι είναι πολύ πρακτικοί και διαθέσιμοι από παντού, αλλά και με χαμηλό δείκτη προστασίας προσωπικών δεδομένων. Σε αυτούς τους λογαριασμούς συχνά παρέχεται επιλογή για απομνημόνευση του ονόματος χρήστη και του κωδικού στον υπολογιστή, ώστε ο χρήστης να μην πληκτρολογεί κανένα από τα στοιχεία του κάθε φορά που συνδέεται από τον ίδιο υπολογιστή ("Απομνημόνευση του ID μου σε αυτό τον υπολογιστή"). Εδώ φυσικά δεν ενεργοποιείται η παραπάνω επιλογή. 3.2 Στις ηλεκτρονικές συναλλαγές. Σε μια ηλεκτρονική επικοινωνία η εμπιστοσύνη μεταξύ των συναλλασσόμενων μερών είναι πολύ σημαντική, για αυτό και θα πρέπει να δίδεται ιδιαίτερη έμφαση στο θερμά της ασφάλειας των συναλλαγών. Σήμερα, η τεχνολογία παρέχει πολύ προηγμένες λύσεις στο θέμα αυτό. Ένα ηλεκτρονικό κατάστημα που μεριμνά για την ασφάλεια των πελατών του θα πρέπει να χρησιμοποιεί και να αναφέρει ρητά όλα τα απαραίτητα συστήματα ασφάλειας καθώς και θα πρέπει να παρέχει τις απαραίτητες πληροφορίες για την πιστοποίηση της ταυτότητάς του. Όσον αφορά την ασφάλεια, ένα ηλεκτρονικό κατάστημα θα πρέπει να χρησιμοποιεί μια σειρά από «συστήματα ασφαλείας» προκειμένου να διασφαλίσει την ασφάλεια των συναλλαγών του, όπως: Ένα ψηφιακό πιστοποιητικό ταυτότητας (digital ID) από κάποιο αναγνωρισμένο φορέα πιστοποίησης (οι ψηφιακές ταυτότητες επιβεβαιώνουν την ταυτότητα του συναλλασσόμενου εμπόρου) Ένα πρωτόκολλο ασφαλείας (π.χ., Secure Socket Layer SSL, ή Secure Electronic Transaction SEΤ). Μια ασφαλή σύνδεση. 44

46 Οι έλεγχοι για την ασφάλεια και την εγκυρότητα του ηλεκτρονικού καταστήματος πρέπει να γίνονται ανεξάρτητα από το αν η πρόσβασή στο Διαδίκτυο γίνεται από τον υπολογιστή, από κινητό τηλέφωνο (π.χ. WAP) ή από την διαδραστική (interactive) τηλεόραση. Σε αυτή τη περίπτωση, οι ιδιοκτήτες ενός ηλεκτρονικού καταστήματος πρέπει να ζητούν ενημέρωση από ειδικούς για όλες τις δυνατές λύσεις και να επιλέγουν, με τη βοήθειά τους, τις πλέον κατάλληλες για την επιχείρησή τους. Όσον αφορά την «ταυτότητα» του, ένα ηλεκτρονικό κατάστημα θα πρέπει να παρουσιάζει ρητά σε ποιόν ακριβώς έχει κατοχυρωθεί, δηλαδή ποιος είναι ο πραγματικός ιδιοκτήτης. Η ύπαρξη ενός ειδικού σήματος στην ιστοσελίδα που να πιστοποιεί την ταυτότητα (από γνωστούς δημόσιους ή ιδιωτικούς οργανισμούς) αποτελεί πλεονέκτημα. Επιπλέον, θα πρέπει να παρέχεται η δυνατότητα στον καταναλωτή, πριν προβεί σε αγορές, να επικοινωνήσει με τον τηλεφωνικό αριθμό στη φυσική έδρα του καταστήματος (είναι υποχρεωτική η αναγραφή του στην ιστοσελίδα) για να διαπιστώσει πως όντως πρόκειται για το κατάστημα που έχει επιλέξει. Συνοπτικά, οι πληροφορίες που πρέπει να παρουσιάζει ένα ηλεκτρονικό κατάστημα στους καταναλωτές περιλαμβάνουν τα παρακάτω: Πραγματική ταυτότητα του εμπόρου (όνομα, γεωγραφική διεύθυνση, τηλέφωνο κ.λπ..) Τρόποι επικοινωνίας τόσο με ηλεκτρονικό όσο και με συμβατικό τρόπο (ηλεκτρονικό ταχυδρομείο [ ], fax, τηλέφωνο, κ.λπ..) Τελική τιμή του προϊόντος ή της υπηρεσίας συμπεριλαμβανομένων φόρων, εξόδων αποστολής, κ.λπ..) Εγγύηση του προϊόντος. Μέθοδος αποστολής και χρόνος παράδοσης, δυνατότητα υπαναχώρησης, τρόπος πληρωμής και παράδοσης, κ.λπ.. Τρόπος ακύρωσης της παραγγελίας σε περίπτωση λάθους ή αλλαγής γνώμης. Επιβεβαίωση της παραλαβής της παραγγελίας. Πληροφορίες για την προστασία των προσωπικών δεδομένων (privacy statement) Που να απευθυνθεί ο καταναλωτής για τα παράπονα του εάν κάτι δεν πάει καλά (π.χ. αργοπορημένη παράδοση ή καθόλου παράδοση). Πώς θα επιστραφεί το προϊόν, τι πρόσθετες επιβαρύνσεις υπάρχουν για την επιστροφή, κ.λπ.. Ποιο δικαστήριο είναι αρμόδιο και ποιο Δίκαιο θα εφαρμοσθεί σε περίπτωση διαφοράς.[6] 3.3 Στις Ηλεκτρονικές Πληρωμές. Με τη συνεχώς αυξανόμενη εμπορευματοποίηση του Internet και τη χρήση του Web πολλές επιχειρήσεις έχουν οδηγηθεί στην υλοποίηση συστημάτων και μεθόδων ηλεκτρονικών πληρωμών προκειμένου να υποστηρίξουν πρακτικά την ανάπτυξη του ηλεκτρονικού εμπορίου στο σύγχρονο επιχειρησιακό περιβάλλον. Έτσι όχι μόνο δεν θεωρείται αρκετή η ανάπτυξη ηλεκτρονικών επιχειρήσεων χωρίς την ανάπτυξη και την εξέλιξη τέτοιων συστημάτων πληρωμών μέσα στο διαδίκτυο, αλλά είναι αδύνατο να υπάρξει ηλεκτρονικό εμπόριο χωρίς έναν τρόπο μεταφοράς χρηματικών πόρων (πληρωμής) μέσω της ψηφιακής υποδομής. Στα πρώτα στάδια ανάπτυξης του ηλεκτρονικού εμπορίου οι πληρωμές γίνονταν εκτός του 45

47 διαδικτύου με καταβολή των ποσών σε κάποια τράπεζα. Ο αναχρονιστικός όμως αυτός τρόπος χρηματικής εκκαθάρισης των διαδικτυακών συναλλαγών δε συμβάδιζε με την ταχύτητα και την αξιοπιστία που απαιτούν οι σύγχρονες διαδικτυακές συναλλαγές. Για το λόγο αυτό μια σειρά από συστήματα ηλεκτρονικών πληρωμών αναπτύχθηκε σταδιακά. Τα συστήματα αυτά είτε αποτελούσαν μια μεταφορά παραδοσιακών πρακτικών του πραγματικού κόσμου στο διαδίκτυο όπως είναι η περίπτωση on-line πληρωμών με πιστωτική κάρτα, είτε οι δημιουργοί τους προχώρησαν σε καινοτομικές λύσεις που εκμεταλλεύονται τα χαρακτηριστικά του διαδικτύου προκειμένου να προτείνουν πρωτοποριακές λύσεις όπως οι πληρωμές με ηλεκτρονικό χρήμα. Οι ηλεκτρονικές πληρωμές αποτελούν αναπόσπαστο τμήμα του ηλεκτρονικού εμπορίου. Στη γενική του μορφή, ο όρος ηλεκτρονικές πληρωμές (electronic payments) περιλαμβάνει κάθε πληρωμή προς τις επιχειρήσεις, τις τράπεζες, ή τις δημόσιες υπηρεσίες από πολίτες ή επιχειρήσεις, οι οποίες εκτελούνται με τη μεσολάβηση ενός τηλεπικοινωνιακού ή ηλεκτρονικού δικτύου με χρήση της σύγχρονης τεχνολογίας. Κάθε ηλεκτρονική πληρωμή γίνεται εξ αποστάσεως χωρίς τη φυσική παρουσία του πληρωτή και φυσικά δεν περιλαμβάνει μετρητά. Το περιεχόμενο αυτής της πληρωμής έχει τη μορφή κάποιου ψηφιακού οικονομικού μέσου (π.χ. κρυπτογραφημένους αριθμούς πιστωτικών καρτών, ηλεκτρονικές επιταγές, ή ψηφιακό χρήμα) το οποίο μέσο υποστηρίζεται από κάποιον χρηματοπιστωτικό οργανισμό, τράπεζα ή άλλον ενδιάμεσο φορέα. Οι ηλεκτρονικές πληρωμές μπορούν να ταξινομηθούν σε τρεις κατηγορίες με βάση την τεχνολογία δικτύου που χρησιμοποιούν. Οι συναλλαγές αυτές μπορούν να πραγματοποιηθούν: μέσω τηλεφώνου: Οι πληρωμές μέσω του τηλεφωνικού δικτύου αποτελούν μια καινούργια μορφή ηλεκτρονικών πληρωμών. Στόχος είναι η εκμετάλλευση της υπάρχουσας τεχνικής υποδομής αλλά και της σημαντικής διείσδυσης που έχει το τηλέφωνο ως τεχνολογία σε όλα τα κοινωνικά στρώματα. Πολλές επιχειρήσεις, τράπεζες αλλά και δημόσιες υπηρεσίες επιτρέπουν την εξόφληση λογαριασμών μέσω τηλεφώνου. μέσω διαδικτύου: Πρόκειται για την πιο σύγχρονη μορφή ηλεκτρονικών πληρωμών. Η εύκολη πρόσβαση στο διαδίκτυο από την πλειοψηφία του καταναλωτικού κοινού, καθιστά τα εν λόγω συστήματα ηλεκτρονικών πληρωμών ιδιαίτερα σημαντικά στην ανάπτυξη του ηλεκτρονικού εμπορίου. μέσω κινητής τηλεφωνίας (m payments): Η ανάπτυξη τεχνολογιών όπως το WAP επιτρέπουν την εκτέλεση βασικών χρηματικών συναλλαγών από κινητές και ασύρματες συσκευές ανεξαρτήτως χώρου και χρόνου. Πρόκειται για ένα μέσο πιο αυτόνομο ενώ η ευρεία αποδοχή και χρήση του από το καταναλωτικό κοινό καθιστά το κινητό ηλεκτρονικό εμπόριο (m-commerce) ιδιαίτερα δημοφιλή.[22] Συστήματα Ηλεκτρονικών Πληρωμών. Ο διαρκώς αυξανόμενος όγκος συναλλαγών μέσω διαδικτύου έχει καταστήσει απαραίτητη την ανάπτυξη και διάδοση καινοτομικών συστημάτων ηλεκτρονικών πληρωμών. Στόχος των συστημάτων αυτών είναι να μπορούν να υποστηρίξουν τα ιδιαίτερα χαρακτηριστικά των συναλλαγών στο διαδίκτυο όπως ταχύτητα και αμεσότητα χωρίς όμως παράλληλα να θυσιάζουν βασικά πλεονεκτήματα των παραδοσιακών μέσων πληρωμών όπως είναι η ασφάλεια και η ευκολία.. Τα συστήματα ηλεκτρονικών πληρωμών ασχολούνται με οποιοδήποτε είδος υπηρεσίας δικτύου που περιλαμβάνει ανταλλαγή χρημάτων για αγαθά ή υπηρεσίες. Τα αγαθά μπορεί να είναι φυσικά όπως βιβλία, ή ηλεκτρονικά όπως ηλεκτρονικά έγγραφα, φωτογραφίες, μουσική. Όμοια οι υπηρεσίες μπορεί να είναι φυσικές όπως κράτηση μιας πτήσης, ή ηλεκτρονικές όπως ανάλυση χρηματιστικής αγοράς σε ηλεκτρονική μορφή. Σε ένα τυπικό σύστημα ηλεκτρονικών πληρωμών μέσω του διαδικτύου, για να γίνει δυνατή 46

48 μια συναλλαγή πρέπει τόσο ο πελάτης όσο και ο έμπορας να έχουν πρόσβαση στο διαδίκτυο και επίσης πρέπει να έχουν από ένα τραπεζικό λογαριασμό σε κάποια τράπεζα ή χρηματοπιστωτικό οργανισμό. Η τράπεζα (ή χρηματοπιστωτικός οργανισμός) του πελάτη και του έμπορα συνδέονται μεταξύ τους μέσω ενός διατραπεζικού δικτύου και έτσι μπορούν να έρθουν σε επαφή. Μια τυπική συναλλαγή στο διαδίκτυο (Σχήμα 3.1) αποτελείται από τα εξής βήματα: Ο πελάτης επισκέπτεται το δικτυακό τόπο (site) του εμπόρου και επιλέγει τα προϊόντα που επιθυμεί. Έπειτα στέλνει πληροφορίες στον έμπορο σχετικά με τον τρόπο πληρωμής. Δηλαδή αν ο πελάτης επιθυμεί να πληρώσει με την πιστωτική του κάρτα, στέλνει στον έμπορο τον αριθμό της πιστωτικής του κάρτας και κάποιες άλλες πληροφορίες (π.χ. ημερομηνία έκδοσης της κάρτας κλπ.). Ο έμπορος προωθεί τις πληροφορίες που έλαβε από τον πελάτη στην τράπεζα του, προκειμένου να εξακριβώσει την εγκυρότητα του τρόπου πληρωμής (π.χ. της πιστωτικής κάρτας). Στη συνέχεια η τράπεζα του έμπορα ζητά έγκριση πληρωμής από την τράπεζα του πελάτη π.χ. από τον οργανισμό έκδοσης της πιστωτικής του κάρτας. Η τράπεζα του πελάτη παρέχει έγκριση πληρωμής (αν π.χ. η συγκεκριμένη πιστωτική κάρτα μπορεί να χρεωθεί) και μεταβιβάζει το συμφωνημένο πληρωτέο ποσό από το λογαριασμό του πελάτη στην τράπεζα του έμπορα. Η τράπεζα του έμπορα ενημερώνει τον έμπορο πως η συναλλαγή είναι έγκυρη και πως έχει πληρωθεί το συγκεκριμένο χρηματικό ποσό της αξίας των προϊόντων που έχει αγοράσει ο πελάτης. Τέλος ο έμπορος αποστέλλει τα προϊόντα ή παρέχει τις συμφωνημένες υπηρεσίες στον πελάτη, σύμφωνα με την παραγγελία. Σχήμα 3.1: Τυπική Συναλλαγή Πληρωμής. 47

49 Σημειώνεται ότι η όλη διαδικασία της συναλλαγής είναι τελείως διάφανη στους δύο τελικούς χρήστες. Ο πελάτης εμπιστεύεται την τράπεζα του και αγοράζει τα προϊόντα που θέλει, χωρίς να γνωρίζει καμιά από τις υπόλοιπες ενέργειες που μεσολαβούν μέχρι την τελική παράδοση των προϊόντων στο σπίτι του. Από την άλλη πλευρά, ο έμπορος εμπιστεύεται τη δική του τράπεζα η οποία και εγγυάται την πληρωμή των προϊόντων που πωλεί εκείνος, χωρίς να γνωρίζει περισσότερες λεπτομέρειες Πιστωτικές Κάρτες. Οι πιστωτικές κάρτες έχουν τύχει ευρείας χρήσης στο διαδίκτυο επειδή διαθέτουν σημαντικά πλεονεκτήματα έναντι των εναλλακτικών μεθόδων πληρωμής. Κατ αρχήν είναι διεθνώς γνωστές και αποδεκτές από τους εμπόρους, επιτρέποντας έτσι την πραγματοποίηση ακόμη και διεθνών συναλλαγών. Επιπλέον η χρήση τους στις ηλεκτρονικές συναλλαγές δεν διαφέρει και πολύ από την χρήση τους στις φυσικές συναλλαγές. Στις φυσικές συναλλαγές ο πελάτης δίνει την κάρτα του στον έμπορα για χρέωση χέρι με χέρι, ενώ στις ηλεκτρονικές συναλλαγές ο πελάτης δίνει στον έμπορα τις πληροφορίες της κάρτας του μέσω του διαδικτύου. Αυτό έχει σαν αποτέλεσμα την πραγματοποίηση συναλλαγών χωρίς σημαντικές επενδύσεις από την πλευρά των εμπόρων αλλά και χωρίς αλλαγή στη συμπεριφορά των καταναλωτών. Κατά την πληρωμή μέσω πιστωτικών καρτών στο διαδίκτυο ο πελάτης κοινοποιεί στον έμπορα τον αριθμό της πιστωτικής του κάρτας, καθώς και άλλες πληροφορίες της κάρτας όπως εκδότη, ημερομηνία λήξεως κλπ. Ο έμπορας ζητά έγκριση από την τράπεζα του η οποία σε συνεργασία με την τράπεζα του πελάτη (οργανισμό έκδοσης της κάρτας) δίνουν ή όχι έγκριση. Σε περίπτωση έγκρισης, ειδοποιείται ο έμπορος ότι η δαπάνη εγκρίθηκε και στέλνει τα προϊόντα στον πελάτη. Η τράπεζα του πελάτη προωθεί τα χρήματα στο λογαριασμό του έμπορα μέσω του διατραπεζικού συστήματος, και χρεώνει το ποσό στο λογαριασμό της πιστωτικής κάρτας του πελάτη. Σε τακτά χρονικά διαστήματα (συνήθως κάθε μήνα) η τράπεζα του πελάτη τον ειδοποιεί για τις συναλλαγές και τις δαπάνες του. Αυτός ο τρόπος πληρωμής παρέχει άμεση πρόσβαση στους τραπεζικούς λογαριασμούς του αγοραστή και του πωλητή και καταγράφει άμεσες μεταβολές στους λογαριασμούς τους. Με την εμφάνιση του ηλεκτρονικού εμπορίου έχουν γίνει μεγάλης κλίμακας απάτες, κυρίως με κλεμμένους αριθμούς πιστωτικών καρτών. Η έγκριση που απαιτείται στα συστήματα πληρωμών είναι μια μορφή προστασίας. Είναι σημαντικό οι αριθμοί των πιστωτικών καρτών (και γενικά οι πληροφορίες πληρωμής) να είναι δυσανάγνωστες σε όλους, εκτός από τον πελάτη και την τράπεζα του. Δεν υπάρχει λόγος ο έμπορας να γνωρίζει τον αριθμό της πιστωτικής κάρτας του πελάτη. Για το λόγο αυτό, τα δεδομένα πληρωμής στέλνονται κρυπτογραφημένα υπό μορφή μηνύματος μέσα στο διαδίκτυο καθώς υπάρχει πιθανότητα το μήνυμα να υποκλαπεί. Η χρήση της πιστωτικής κάρτας για αγορές σε ένα δικτυακό τόπο, αποτελεί έναν ασφαλή τρόπο πληρωμής. Για παράδειγμα, η easyjet έχει ήδη διεξάγει πολλά εκατομμύρια κρατήσεις θέσεων μέσω Διαδικτύου. Χρησιμοποιούν πολλά βήματα ασφάλειας, έτσι ώστε να μπορούν να εγγυηθούν την απόλυτη ασφάλεια των δεδομένων των πελατών τους κατά την αγορά πτήσεων της easyjet μέσω Διαδικτύου. 1. Όλες οι ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των προσωπικών δεδομένων, κρυπτογραφούνται και παραμένουν εμπιστευτικές. (Χρησιμοποιείται πάντα το επίπεδο ασφαλών υποδοχών 128 bit (SSL) ή το σύνηθες SSL, το οποίο θα αναλυθεί στο κεφάλαιο 10). Αυτό σημαίνει ότι οι πληροφορίες μπορούν να ανταλλαχθούν μόνο ανάμεσα στο πελάτη και την easyjet και ότι κανείς τρίτος δεν μπορεί να αποκτήσει πρόσβαση σε αυτά τα δεδομένα. Στο πρόγραμμα 48

50 πλοήγησής του πελάτη εμφανίζεται συνήθως το σύμβολο μίας κλειδαριάς, το οποίο συμβολίζει την κάλυψη μίας ιστοσελίδας από αυτό το σύστημα ασφάλειας. 2. Όλες οι πληροφορίες του ιστορικού της κράτησης, οι οποίες σχετίζονται με την πιστωτική κάρτα, το όνομα και τη διεύθυνση του πελάτη κρατούνται σε έναν ασφαλή υπολογιστή. Μετά την ολοκλήρωση της συναλλαγής δεν διατηρούνται ενεργά αρχεία των προσωπικών δεδομένων ή των στοιχείων της πιστωτικής κάρτας των επιβατών στους διακομιστές της easyjet (web servers) Ηλεκτρονικές Επιταγές. Οι ηλεκτρονικές επιταγές είναι η φυσιολογική συνέχεια των παραδοσιακών επιταγών, που τώρα υπογράφονται και μεταβιβάζονται ηλεκτρονικά, και μπορούν να έχουν όλες τις παραλλαγές των κοινών επιταγών, όπως ταξιδιωτικές επιταγές ή πιστοποιημένες επιταγές. Μια επιταγή χρησιμοποιείται για να μεταφέρει ένα μήνυμα προς την τράπεζα του αποστολέα για τη μεταφορά ενός συγκεκριμένου χρηματικού ποσού από το λογαριασμό του αποστολέα στο λογαριασμό κάποιου άλλου. Σε αντιστοιχία με την παραδοσιακή διαδικασία η ηλεκτρονική επιταγή αποστέλλεται αρχικά στον αποδέκτη του χρηματικού ποσού, ο οποίος την υπογράφει και την προωθεί στην τράπεζα προκειμένου να λάβει το αντίστοιχο ποσό. Στη συνέχεια η εξοφλημένη και επικυρωμένη επιταγή επιστρέφεται στον αποστολέα ο οποίος τη χρησιμοποιεί ως απόδειξη πληρωμής. Μια ηλεκτρονική επιταγή έχει τα ίδια χαρακτηριστικά με μια έντυπη επιταγή. Είναι ένα ηλεκτρονικό έγγραφο που περιέχει τον αριθμό της επιταγής, το όνομα του πληρωτή, τον αριθμό λογαριασμού του πληρωτή και το όνομα της τράπεζας, το όνομα του δικαιούχου πληρωμής (αποδέκτη), το πληρωτέο ποσό, τη μονάδα χρήματος που χρησιμοποιείται, την ημερομηνία λήξης, την ηλεκτρονική υπογραφή του πληρωτή και την ηλεκτρονική επικύρωση του δικαιούχου πληρωμής. Οι ηλεκτρονικές επιταγές χρησιμοποιούν την τεχνολογία των ψηφιακών υπογραφών. Οι ψηφιακές υπογραφές αναλύονται στο κεφάλαιο 8. Από πλευράς ασφάλειας η ηλεκτρονική επιταγή θεωρείται καλύτερη από την έντυπη, αφού ο αποστολέας μπορεί να προστατέψει τον εαυτό του από μια απάτη. Κάτι τέτοιο επιτυγχάνεται με την κρυπτογράφηση του αριθμού λογαριασμού του με το δημόσιο κλειδί της τράπεζας του, με αποτέλεσμα να μην αποκαλύπτεται στον έμπορα ο αριθμός του λογαριασμού. Σε μια συναλλαγή πληρωμής με ηλεκτρονικές επιταγές ο πελάτης παραγγέλλει κάποια προϊόντα από τον έμπορα και για πληρωμή του στέλνει μια ηλεκτρονική επιταγή ψηφιακά υπογεγραμμένη. Ο έμπορας γνωρίζοντας το δημόσιο κλειδί του πληρωτή, μπορεί να επιβεβαιώσει την ορθότητα της ψηφιακής υπογραφής και έτσι να επικυρώσει τη συγκεκριμένη επιταγή. Μετά την παραλαβή και επικύρωση της επιταγής, ο έμπορας στέλνει τα προϊόντα στον πελάτη. Η τράπεζα του πελάτη αποσύρει το ποσό πώλησης από το λογαριασμό του πελάτη και μέσω του διατραπεζικού συστήματος το εν λόγω ποσό πιστώνεται στο λογαριασμό του έμπορα Ηλεκτρονικό Χρήμα. Το ηλεκτρονικό χρήμα είναι ένα σύγχρονο μέσο πληρωμής στο διαδίκτυο. Οι περισσότεροι αναλυτές συμφωνούν πάνω στο γεγονός, ότι η ανάπτυξη του ηλεκτρονικού εμπορίου οδηγεί αντίστοιχα στην ανάπτυξη του ηλεκτρονικού χρήματος. Η χρήση ηλεκτρονικού χρήματος για την 49

51 αγορά καταναλωτικών αγαθών μοιάζει να προτιμάται από πολλούς καταναλωτές, καθώς μπορεί να οδηγήσει στην ολοκλήρωση της διαδικασίας πολύ πιο γρήγορα από τη συμπλήρωση όλων των στοιχείων της πιστωτικής κάρτας. Τα σχήματα ηλεκτρονικού χρήματος στηρίζονται είτε κάρτες αποθηκευμένης αξίας είτε σε ειδικό λογισμικό. Στην πρώτη περίπτωση η κάρτα περιέχει ένα χρηματικό ποσό ανάλογο με αυτό που έχει προπληρώσει ο κάτοχος της. Η κάρτα μπορεί να είναι είτε ανώνυμη είτε ονοματική. Ο κάτοχος της μπορεί τη φορτίζει κάθε φορά με το ποσό που επιθυμεί. Για λόγους ασφάλειας, η κάρτα προστατεύεται από ένα κωδικό. Στα σχήματα ηλεκτρονικού χρήματος μέσω λογισμικού πραγματοποιείται έκδοση ηλεκτρονικών νομισμάτων από έναν παροχέα υπηρεσιών πληρωμών (συνήθως τράπεζα). Τα ηλεκτρονικά αυτά νομίσματα είναι αποθηκευμένα σε ένα ηλεκτρονικό πορτοφόλι στον υπολογιστή του χρήστη ο οποίος μπορεί να τα χρησιμοποιήσει για αγορές μέσω διαδικτύου. Το βασικό πλεονέκτημα των σχημάτων ηλεκτρονικών πληρωμών και στις δύο περιπτώσεις είναι ότι μπορεί να διατηρηθεί η ανωνυμία των συναλλαγών που είναι ιδιαίτερα σημαντική για τους πελάτες. Ως ηλεκτρονικό χρήμα, η Ευρωπαϊκή Κεντρική Τράπεζα ορίζει «την αποθήκευση χρηματικής αξίας σε ψηφιακή μορφή µέσω μιας συσκευής που μπορεί να χρησιμοποιηθεί ευρέως για την πραγματοποίηση πληρωμών σε δίκτυα χωρίς τη χρήση τραπεζικών λογαριασμών. Το ηλεκτρονικό χρήμα θα λειτουργεί ως προπληρωμένο υπόθεμα. Ενώ τα δίκτυα θα είναι είτε ανοικτά δηλαδή θα επιτρέπουν την άμεση μεταφορά χρημάτων μεταξύ υποθεμάτων είτε κλειστά όπου η χρέωση του υποθέματος θα γίνεται από συγκεκριμένο τραπεζικό λογαριασμό αποκλειστικά». Ωστόσο, γενικά με τον όρο ηλεκτρονικό χρήμα περιγράφεται κάθε μορφή μεταφοράς χρήματος μεταξύ δύο ή περισσότερων μερών που γίνεται με ψηφιακό τρόπο και χωρίς τη μεσολάβηση κάποιου υλικού μέσου. Τα χαρακτηριστικά που πρέπει να έχει το ηλεκτρονικό χρήμα είναι τα εξής: Ικανοποιητικό επίπεδο ασφάλειας. Ανωνυμία. Μεταφερσιμότητα (από μια μορφή σε άλλη π.χ. από ηλεκτρονικά νομίσματα σε μετρητά). Διαιρετότητα (να μπορεί να διαιρεθεί σε όσα τμήματα ίσης συνολικής αξίας θέλει ο κάτοχος). Ευρεία αποδοχή. Ευχρηστία. Σταθερή αξία (προστασία από πληθωρισμό, υποτίμηση κλπ.). Σε μια συναλλαγή πληρωμής με ηλεκτρονικό χρήμα ο πελάτης αρχικά έχει προμηθευτεί ψηφιακά νομίσματα από την τράπεζα του ή κάποιον άλλο οργανισμό έκδοσης ψηφιακών νομισμάτων. Με τα νομίσματα που αγόρασε ο πελάτης μπορεί να κάνει αγορές στο διαδίκτυο. Επειδή συνήθως τα ψηφιακά νομίσματα χρησιμοποιούνται για αγορές αγαθών ή υπηρεσιών χαμηλού κόστους, ο έμπορος πολλές φορές δίνει τα προϊόντα χωρίς να ζητήσει έγκριση πληρωμής. Στη συνέχεια ο έμπορος στέλνει αίτημα εξαγοράς νομισμάτων στην τράπεζα του. Μέσω του διατραπεζικού δικτύου η τράπεζα του έμπορα εξαργυρώνει τα νομίσματα στον οργανισμό που τα έκδωσε και πιστώνει το λογαριασμό του έμπορα με το ισοδύναμο ποσό. Ο οργανισμός έκδοσης νομισμάτων για να εξασφαλίσει ότι το κάθε νόμισμα χρησιμοποιείται μόνο μια φορά, καταγράφει τον αύξοντα αριθμό του κάθε νομίσματος καθώς αυτό ξοδεύεται. Αν ο αριθμός αυτός είναι ήδη καταγραμμένος στη βάση δεδομένων ο οργανισμός διαπιστώνει απάτη, ακυρώνει το νόμισμα πριν τη συναλλαγή και ειδοποιεί τον έμπορο. 50

52 3.3.4 Ηλεκτρονικό Πορτοφόλι. Το ηλεκτρονικό πορτοφόλι είναι ένα νέο εργαλείο πληρωμών που προσφέρει σημαντικά πλεονεκτήματα τόσο στους καταναλωτές, όσο και στους εμπόρους και χαράζει την πορεία προς την αντικατάσταση των μετρητών, τουλάχιστον όσον αφορά τις καθημερινές μικροσυναλλαγές και γενικότερα συμβάλει στη διευκόλυνση των συναλλαγών μέσω ηλεκτρονικού εμπορίου. Υπάρχουν δύο είδη ηλεκτρονικού πορτοφολιού: Προπληρωμένες κάρτες: Οι κάρτες αυτές έχουν το μέγεθος και τη μορφή πιστωτικών καρτών και χρησιμοποιούνται για συναλλαγές στο διαδίκτυο. Οι εν λόγω κάρτες μπορεί να είναι είτε ονομαστικές είτε ανώνυμες. Σε περίπτωση που είναι ονομαστικές, κάθε πελάτης παίρνει από την τράπεζα του μια κάρτα αποθηκευμένης αξίας, στην οποία μεταφέρει χρήματα από το λογαριασμό του, και τη χρησιμοποιεί για τις αγορές του στο διαδίκτυο και όχι μόνο. Για λόγους ασφάλειας και ευελιξίας υπάρχει μια τάση οι κάρτες αυτές να είναι έξυπνες κάρτες. Στη δεύτερη περίπτωση όπου η κάρτα είναι ανώνυμη, ο κάτοχος της μπορεί να τη χρησιμοποιεί για τις αγορές του στα ηλεκτρονικά καταστήματα εύκολα, ανώνυμα και με ασφάλεια οποιαδήποτε ώρα της ημέρας επιθυμεί. Ένα άλλο πλεονέκτημα της ανώνυμης κάρτας είναι ότι η κάρτα μπορεί να μεταβιβαστεί από ένα άτομο σε ένα άλλο, ενώ η ονομαστική δεν μπορεί να μεταβιβαστεί. Η χρήση προπληρωμένων καρτών δημιουργεί έναν εναλλακτικό τρόπο πληρωμής ώστε να είναι δυνατή η χρήση του διαδικτύου για την πραγματοποίηση αγορών ακόμα και από εκείνους τους καταναλωτές που είναι επιφυλακτικοί στη χρήση της πιστωτικής κάρτας για λόγους ασφάλειας. Ειδικό λογισμικό: Χρησιμοποιείται ένας ειδικά διαμορφωμένος τύπος λογισμικού (ιδεατό πορτοφόλι) για την αποθήκευση χρηματικής αξίας με τη μορφή ψηφιακών νομισμάτων. Τα ψηφιακά αυτά νομίσματα που είναι αποθηκευμένα στο ηλεκτρονικό πορτοφόλι στον υπολογιστή του χρήστη, μπορούν να χρησιμοποιηθούν για αγορές στο διαδίκτυο. Γενικά, ένα Ηλεκτρονικό Πορτοφόλι διαθέτει ένα συγκεκριμένο χρηματικό ποσό και μπορεί να χρησιμοποιηθεί για αγορές στα συνεργαζόμενα με την τράπεζα που το εκδίδει, ηλεκτρονικά καταστήματα. Το ηλεκτρονικό πορτοφόλι παρέχει μέγιστη ασφάλεια, καθώς το ποσό χρέωσης δε μπορεί να υπερβεί το αποθηκευμένο ποσό που υπάρχει στο πορτοφόλι. [8] Έξυπνες Κάρτες. Μια έξυπνη κάρτα είναι μια πλαστική ίση σε μέγεθος με μια πιστωτική κάρτα, στην οποία έχει ενσωματωθεί ένα ολοκληρωμένο κύκλωμα (chip). Το ολοκληρωμένο κύκλωμα μπορεί να περιέχει μόνο μνήμη ή και μικροεπεξεργαστή. Το κύριο πλεονέκτημα των έξυπνων καρτών είναι ότι παρέχουν φυσική προστασία των αποθηκευμένων δεδομένων. Μια από τις πλέον ενδιαφέρουσες ιδιότητες των έξυπνων καρτών είναι ότι είναι εξαιρετικά δύσκολο να αντιγραφούν. Με την αύξηση της διαθέσιμης υπολογιστικής δύναμης και μνήμης μεγαλώνει και ο αριθμός των εφαρμογών με έξυπνες κάρτες. Οι έξυπνες κάρτες χρησιμοποιούνται ήδη στις εφαρμογές ηλεκτρονικού εμπορίου. Οι έξυπνες κάρτες διευκολύνουν την εφαρμογή των Υποδομών Δημοσίου Κλειδιού, η οποία εφαρμογή αναφέρεται διεξοδικά στο κεφάλαιο 7, οι οποίες χρησιμοποιούνται ευρέως στο ηλεκτρονικό εμπόριο. Οι υποδομές δημοσίου κλειδιού μπορούν να εξασφαλίσουν υψηλό επίπεδο εμπιστοσύνης στις ηλεκτρονικές συναλλαγές. Επιπλέον παρέχουν ακεραιότητα δεδομένων, ασφάλεια και ιδιωτικότητα. Οι έξυπνες κάρτες μπορούν να αποθηκεύσουν τα ιδιωτικά κλειδιά με 51

53 ασφάλεια. Σε αντίθετη περίπτωση τα ιδιωτικά κλειδιά αποθηκεύονται στους υπολογιστές των κατόχων τους, όπου είναι τρωτά σε επιθέσεις εισβολέων με σκοπό την απόκτηση τους. Η μεταφορά του ιδιωτικού κλειδιού μέσα στην έξυπνη κάρτα διευκολύνει ιδιαίτερα τις ηλεκτρονικές συναλλαγές. Όπως είναι γνωστό, για να γίνει μια ηλεκτρονική συναλλαγή απαιτείται η ανταλλαγή ευαίσθητων προσωπικών δεδομένων μεταξύ των συναλλασσόμενων πλευρών. Οι έξυπνες κάρτες αποτελούν ένα άριστο μέσο για τη μεταφορά ευαίσθητων προσωπικών δεδομένων όπως για παράδειγμα αριθμούς πιστωτικών καρτών, κλειδιά κρυπτογράφησης και αποκρυπτογράφησης κλπ. Οι έξυπνες κάρτες μπορούν επιπλέον να αντικαταστήσουν κάρτες όπως οι τηλεκάρτες, οι πιστωτικές κάρτες, οι κάρτες ανάληψης μετρητών και άλλες παρόμοιες κάρτες. Μπορούν επίσης να χρησιμοποιηθούν ως προπληρωμένες κάρτες για την αποθήκευση ψηφιακών νομισμάτων. Μια τέτοια κάρτα πολλαπλών εφαρμογών που χρησιμοποιείται στις ηλεκτρονικές συναλλαγές είναι η Java Card.[8] 3.4 Στις Διαδικτυακές τραπεζικές συναλλαγές. Σύμφωνα με έρευνες, όλο και περισσότεροι ιδιώτες αλλά και επιχειρήσεις στην Ελλάδα προτιμούν να διεκπεραιώνουν τις τραπεζικές τους συναλλαγές μέσω Διαδικτύου. Τα αποτελέσματα της Εθνικής Έρευνας για τις Νέες Τεχνολογίες και την Κοινωνία της Πληροφορίας δείχνουν ότι το 2001 περίπου πελάτες (1%-1,5% του πληθυσμού) πραγματοποίησαν τραπεζικές συναλλαγές ηλεκτρονικά. Το 2002 ο αριθμός αυτός ξεπέρασε τους (2,5% του συνολικού πληθυσμού). Σύμφωνα με εκτιμήσεις τραπεζών, το 2001 ο τζίρος από on-line τραπεζικές συναλλαγές έφθασε τα 2 δισ. ευρώ. Το 2002 το ποσό αυτό εκτιμάται ότι αυξήθηκε σε 10 δισ. ευρώ, ενώ για φέτος αναμένεται να υπερβεί τα 12 δισεκατομμύρια. Σύμφωνα με στοιχεία της Τράπεζας Πειραιώς, οι συναλλαγές μέσω Winbank Internet παρουσιάζουν ραγδαία ανάπτυξη: το 2003 οι εγχρήματες συναλλαγές αυξάνονται με ρυθμό της τάξεως του 150% έναντι του Επίσης, το 50% όλων των πληρωμών IKA πραγματοποιείται online, ενώ οι ηλεκτρονικές χρηματιστηριακές συναλλαγές υπερβαίνουν το 15% επί του συνόλου. Η εξάπλωση του e-banking είναι ραγδαία σε όλο τον κόσμο. Ειδικοί εκτιμούν ότι στο μέλλον οι σύγχρονες τράπεζες θα δραστηριοποιούνται αποκλειστικά μέσω των νέων τεχνολογιών. Ενδεικτικά, στη Γερμανία το 42% του πληθυσμού χρησιμοποιεί τις υπηρεσίες e-banking, στη Σουηδία το 28%, στη Βρετανία το 7%. Παρά τις εξελιγμένες μεθόδους για τη διασφάλιση των τραπεζικών συναλλαγών, η συχνότητα των ηλεκτρονικών επιθέσεων αυξάνεται τα τελευταία χρόνια. Η αύξηση αυτή προκαλεί ανησυχία στους ειδικούς, καθώς διακυβεύονται τεράστια ποσά, ειδικά στις περιπτώσεις κατά τις οποίες θύματα απάτης γίνονται επιχειρήσεις. Οι επίδοξοι εισβολείς έχουν πολλούς τρόπους για να επιτύχουν τους σκοπούς τους. Οι μεγαλύτεροι κίνδυνοι δεν προέρχονται από ατέλειες των συστημάτων ασφαλείας και κρυπτογράφησης αλλά από τον ανθρώπινο παράγοντα. Έρευνες ειδικών σε θέματα ασφάλειας αποδεικνύουν ότι στις περισσότερες περιπτώσεις επιθέσεων, οι εισβολείς είτε είχαν την ακούσια - συνήθως- βοήθεια και κάποιου που εργαζόταν στην τράπεζα, είτε υπέκλεψαν κωδικούς χρηστών. Οι επιχειρήσεις-πελάτες είναι συνήθως προσεκτικές και χρησιμοποιούν συστήματα ασφαλείας στα δίκτυά τους. Την ίδια "σοφία" ή προσοχή δεν δείχνουν και οι ιδιώτες πελάτες, οι περισσότεροι από τους οποίους δεν χρησιμοποιούν λογισμικό για ασφάλεια. Οι απλοί χρήστες γίνονται εύκολα θύματα προγραμμάτων που στην πραγματικότητα ανοίγουν "τρύπες" ασφάλειας στο σύστημα και με τον τρόπο αυτό επιτρέπουν σε επιτήδειους να έχουν πρόσβαση σε αυτό και να κινούνται μέσα σε αυτό ανενόχλητοι. 52

54 Ωστόσο και οι επιχειρήσεις δεν είναι πάντοτε ασφαλείς. Σε ορισμένες περιπτώσεις, εταιρίες συνεργάζονται με τράπεζες προκειμένου να διαχειριστούν τις πληρωμές των λογαριασμών και τις συναλλαγές με εταιρικούς πελάτες. Οι τράπεζες ενίοτε επιτρέπουν στις εταιρίες αυτές να διαχειρίζονται ολόκληρο το δίκτυό τους. Σε αυτήν την περίπτωση, οι επιτήδειοι μελετούν τον τρόπο με τον οποίο οι επιχειρήσεις επεξεργάζονται τις πληρωμές και μεταφέρουν τα χρήματα. Μόλις βρεθεί μια αδυναμία, μεταφέρουν με λίγες απλές κινήσεις ολόκληρους εταιρικούς λογαριασμούς στις προσωπικές τους θυρίδες. Να σημειωθεί, πάντως, πως η πρακτική αυτή, η διαχείριση δηλαδή τραπεζικού δικτύου από εταιρικό πελάτη, δεν συνηθίζεται στην Ελλάδα. Εξάλλου μέχρι σήμερα δεν έχουν δει το φως της δημοσιότητας περιπτώσεις απάτης στον τομέα του ελληνικού e-banking.[20] H σημερινή εφαρμογή τους στην Ελλάδα. Το e-banking (ή Ιnternet banking) υπόσχεται την επανάσταση στις τραπεζικές συναλλαγές. "Μεταφέρει" την ίδια την τράπεζα στην οθόνη του υπολογιστή μέσω Διαδικτύου, με άμεση πρόσβαση στους τραπεζικούς λογαριασμούς, παρέχοντας τη δυνατότητα διεκπεραίωσης συναλλαγών, παρακολούθησης της πορείας χαρτοφυλακίων, εξόφλησης λογαριασμών ΔΕΚΟ και πιστωτικών καρτών, καθώς και πλήθος άλλων υπηρεσιών. Οι πελάτες (ιδιώτες και επιχειρήσεις) ωφελούνται σημαντικά από τη χρήση των υπηρεσιών e-banking, καθώς τους παρέχεται η δυνατότητα να διεκπεραιώνουν ένα μεγάλο μέρος των συναλλαγών τους με την τράπεζα εύκολα, γρήγορα και με ασφάλεια 24 ώρες το 24ωρο, 365 μέρες το χρόνο. Για τις ΜΜΕ το όφελος είναι ακόμη μεγαλύτερο, καθώς περιορίζεται το κόστος λειτουργίας τους όσον αφορά σε λειτουργικά έξοδα, προμήθειες και κινδύνους απώλειας χρήματος, ενώ παράλληλα εξοικονομείται πολύτιμος χρόνος. Με το e-banking οι τραπεζικές υπηρεσίες προσφέρονται ανά πάσα στιγμή, ο δε καταναλωτής μπορεί να ενημερωθεί για κάθε προϊόν ή υπηρεσία ανέξοδα και χωρίς χρόνους αναμονής. Συχνό είναι και το φαινόμενο των προσφορών ή της εφαρμογής ευνοϊκότερων όρων στην παροχή προϊόντων μέσω Internet, γεγονός που από μόνο του είναι ικανό να προσελκύσει σημαντική μερίδα καταναλωτών που αναζητούν προσφορές. Οι βασικότερες υπηρεσίες που παρέχουν μέσω Internet οι ελληνικές τράπεζες είναι οι εξής: Πληροφορίες υπολοίπων για τους τηρούμενους λογαριασμούς. Μεταφορές ποσών μεταξύ των τηρούμενων λογαριασμών του ιδίου νομίσματος. Πληροφορίες σχετικά με τις πρόσφατες κινήσεις των τηρούμενων λογαριασμών. Δυνατότητα έκδοσης και αποστολής παλαιότερων κινήσεων των τηρούμενων λογαριασμών. Παραγγελία μπλοκ επιταγών. Δυνατότητα υποβολής αίτησης για ανάκληση επιταγών ή ολόκληρου του μπλοκ επιταγών. Εντολές αγοραπωλησίας μετοχών. Ενημέρωση για την κίνηση των προσωπικών αμοιβαίων κεφαλαίων. Δυνατότητα υποβολής αιτήσεων εμβασμάτων. Αλλαγή του απορρήτου κωδικού PIN. Προσωπικά μηνύματα. Σε πολλές ευρωπαϊκές χώρες, όπου τα συστήματα πληρωμών είναι περισσότερο ανεπτυγμένα και τυποποιημένα, ο προσανατολισμός των τραπεζών στρέφεται σταδιακά στην παροχή πρόσθετων υπηρεσιών προς τις επιχειρήσεις (corporate sites), πεδίο στο οποίο η γκάμα των επιλογών είναι ιδιαίτερα διευρυμένη.[17] 53

55 3.5 Στην άμεση συνομιλία (chat). Το chat στο Διαδίκτυο είναι ένας τρόπος άμεσης επικοινωνίας ενός συνόλου ανθρώπων, οι οποίοι βρίσκονται συγκεντρωμένοι σε έναν συγκεκριμένο δικτυακό χώρο που ονομάζεται «δωμάτιο επικοινωνίας» (chat room) και πληκτρολογούν ο ένας στον άλλο μηνύματα κειμένου ή χρησιμοποιούν μικρόφωνο και κάμερα για ζωντανή συνομιλία. Το chat αποτελεί μια κοινωνική δραστηριότητα ιδιαίτερα δημοφιλή ανάμεσα στους νέους, διότι τους προσφέρει έναν εύκολο και ανέξοδο τρόπο γνωριμίας με ανθρώπους απ' όλον τον κόσμο. Η συζήτηση αυτή μπορεί να πραγματοποιηθεί είτε σε ιστοχώρους του Διαδικτύου χωρίς να χρειαστεί η εγκατάσταση κάποιου προγράμματος, είτε εγκαθιστώντας το κατάλληλο λογισμικό (όπως στην περίπτωση του δημοφιλούς IRC). Στα περισσότερα δωμάτια επικοινωνίας η πρόσβαση είναι ελεύθερη και μπορεί ο καθένας, χρησιμοποιώντας απλά ένα ψευδώνυμο, να παρακολουθεί ή να συμμετέχει σε συζητήσεις. Υπάρχει ωστόσο και η δυνατότητα «ιδιωτικής συνομιλίας», όταν κάποιοι από τα μέλη της ομάδας αποφασίζουν να απομονωθούν από τους άλλους σε ένα ιδιαίτερο «δωμάτιο» και να επικοινωνούν μόνο μεταξύ τους. Η χρήση των ψευδωνύμων επιτρέπει στους χρήστες να διατηρούν την ανωνυμία τους. Αυτή ακριβώς η δυνατότητα, μαζί με την ψευδαίσθηση του παιδιού-χρήστη ότι είναι ασφαλές, επειδή βρίσκεται στο φυσικό χώρο του σπιτιού του, του σχολείου του ή ενός internet-cafe, μπορεί να μετατρέψει τον τρόπο αυτό της επικοινωνίας σε μια από τις μεγαλύτερες και πιο επικίνδυνες παγίδες του Διαδικτύου. Υπάρχουν συχνά καταγγελίες παιδιών ότι, κατά τη διάρκεια τέτοιου είδους συνομιλιών, έχουν υποστεί λεκτική ή σεξουαλική παρενόχληση, ενώ έχουν δεχτεί από αγνώστους προτροπές για συνάντηση σε πραγματικό χώρο. Σε χώρες του εξωτερικού έχουν παρουσιασθεί έως τώρα δεκάδες περιπτώσεις παιδιών που εξαφανίσθηκαν, έπεσαν θύματα παιδόφιλων ή κυκλωμάτων παιδικής πορνογραφίας, ή παρασύρθηκαν από αγνώστους τους οποίους «συνάντησαν» σε δωμάτια επικοινωνίας. Ένα από τα σημαντικότερα προβλήματα είναι και η έλλειψη γνώσεων σχετικά με αυτόν τον τρόπο επικοινωνίας, τόσο από τους γονείς, όσο και από τους εκπαιδευτικούς. 3.6 Στο διαμοιρασμό αρχείων. Είναι η δυνατότητα, που προσφέρει το Διαδίκτυο στους χρήστες του, να διαμοιράζονται αρχεία κάθε είδους. Πραγματοποιείται με προγράμματα (ελεύθερα ή με πληρωμή) όπως τα παρακάτω: Προγράμματα για Windows: Aimster, Audio Galaxy, Bearshare, Gnotella, Gnucleus, Grokster, imesh, KaZaa, Limewire, Morpheus, SwapNut, WinMX. Προγράμματα για Mac: Aimster, Limewire, Mactella. Καθένα από τα ανωτέρω προγράμματα λειτουργεί έτσι ώστε να κάνει κοινόχρηστο ένα μέρος του σκληρού δίσκου του τοπικού υπολογιστή, σε όλους χρήστες, οι οποίοι είναι συνδεδεμένοι στο Διαδίκτυο και χρησιμοποιούν το ίδιο πρόγραμμα. Επομένως, κάθε μέλος της ιδιότυπης αυτής κοινότητας μπορεί να αναζητεί αρχεία στους υπολογιστές των μελών της και να δημιουργεί ένα αντίγραφο οποιουδήποτε από αυτά τα αρχεία, στον δικό του υπολογιστή. Κατά την αντιγραφή των αρχείων υπάρχει απευθείας, σύγχρονη επικοινωνία μεταξύ υπολογιστών, γι αυτό τα προγράμματα αυτά ονομάζονται και ομότιμης σύνδεσης (peer-to-peer) προγράμματα. Η ευρύτατη χρήση της δυνατότητας αυτής του Διαδικτύου οφείλεται στην μεγάλη ευκολία 54

56 εύρεσης και τοπικής αποθήκευσης κάθε είδους αρχείου (μουσικής, εικόνων, προγραμμάτων) με μηδαμινό κόστος για τον χρήστη. Η συγκέντρωση των ταυτόχρονα διασυνδεδεμένων χρηστών σε κάθε τέτοιο πρόγραμμα διαμοιρασμού αρχείων ανέρχεται σε μερικά εκατομμύρια. Δημιουργούνται έτσι μερικές από τις μεγαλύτερες διαδικτυακά πληθυσμιακές κοινότητες, μέσα στις οποίες διακινείται σχεδόν ανεξέλεγκτα κάθε είδους υλικό. 55

57 ΜΕΣΑ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ. H ανάπτυξη ασφαλών συστημάτων που θα είναι φιλικά προς το χρήστη και στα οποία θα πραγματοποιείται η διακίνηση ευαίσθητων πληροφοριών χωρίς κίνδυνο υποκλοπής ή αλλοίωσης αναμένεται ότι θα συντελέσει στην αύξηση της χρήσης του Internet τόσο στον τομέα των εμπορικών συναλλαγών όσο και γενικότερα στις επικοινωνίες. Ειδικότερα, η προστασία των προσωπικών δεδομένων στο πλαίσιο λειτουργίας του ηλεκτρονικού εμπορίου αποτελεί κρίσιμο παράγοντα για την επιτυχημένη εκπλήρωση των στόχων του στην Κοινωνία της Πληροφορίας. Οι κίνδυνοι προσβολής της προσωπικότητας μπορούν να προστατευθούν με την εφαρμογή των κατάλληλων μέτρων προστασίας κάθε εμπλεκόμενου φορέα σε μια ηλεκτρονική συναλλαγή. Τεχνικές που στοχεύουν στην ανωνυμοποίηση των καναλιών επικοινωνίας, τεχνολογίες ασφάλειας των πληροφοριών και προστασίας της ιδιωτικότητας (όπως η κρυπτογράφηση) είναι άμεσα συνδεδεμένες με ένα επιτυχημένο περιβάλλον ηλεκτρονικού επιχειρείν. Μικρομεσαίες επιχειρήσεις που χρησιμοποιούν το Διαδίκτυο ή δραστηριοποιούνται σ' αυτό, δεν έχουν ουσιαστικά άλλη επιλογή από το να υιοθετούν σε μικρό ή μεγάλο βαθμό τεχνικές κρυπτογράφησης. Στις μέρες μας κρυπτογραφία δεν είναι μόνο κρυπτογράφηση και αποκρυπτογράφηση. Εκτός από την διασφάλιση του απόρρητου (privacy), η πιστοποίηση ταυτότητας (authentication) είναι άλλη μία έννοια που έχει γίνει μέρος της ζωής μας. Πιστοποιούμε την ταυτότητα μας καθημερινά και ανεπαίσθητα, για παράδειγμα όταν υπογράφουμε ένα έγγραφο, όταν δείχνουμε την ταυτότητα μας. Καθώς ο κόσμος εξελίσσεται σε ένα περιβάλλον που όλες οι αποφάσεις και οι συναλλαγές θα γίνονται ηλεκτρονικά, χρειαζόμαστε ηλεκτρονικές τεχνικές που θα επιτελούν την πιστοποίηση της ταυτότητας μας. Η κρυπτογραφία παρέχει μηχανισμούς για τέτοιες διαδικασίες. Η ψηφιακή υπογραφή συνδέει ένα έγγραφο με τον κάτοχο ενός κλειδιού έτσι ώστε όλοι όσοι είναι σε θέση να το αναγνώσουν να είναι σίγουρη για το ποιος το έχει γράψει. Επίσης, μία ψηφιακή χρονοσφραγίδα (digital timestamp) συνδέει ένα έγγραφο με την ώρα της δημιουργίας του. Τέτοιο μηχανισμοί μπορούν να χρησιμοποιηθούν για έλεγχο πρόσβασης σε ένα σκληρό δίσκο, για ασφαλής συναλλαγές μέσω του Διαδικτύου ή ακόμα και για σύνδεση με καλωδιακή τηλεόραση. 56

58 Κεφάλαιο 4 Ασφάλεια Περιμέτρου. Πολλοί οργανισμοί ηλεκτρονικού εμπορίου έχουν συνδέσει τα εσωτερικά τους δίκτυα με το διαδίκτυο για την πραγματοποίηση των ηλεκτρονικών συναλλαγών, αλλά και για τη λήψη χρήσιμων πληροφοριών από τον παγκόσμιο ιστό. Η σύνδεση όμως ενός συστήματος στο διαδίκτυο (δημόσιο δίκτυο) δίνει τη δυνατότητα πλήρους αμφίδρομης επικοινωνίας με αυτό. Δηλαδή οι χρήστες του ιδιόκτητου δικτύου μπορούν να έχουν πρόσβαση στο διαδίκτυο. Ταυτόχρονα και οι χρήστες του διαδικτύου μπορούν να επικοινωνήσουν με το ιδιόκτητο δίκτυο, κάτι το οποίο δεν είναι πάντα επιθυμητό αφού εμπιστευτικές πληροφορίες που βρίσκονται στα συστήματα ενός οργανισμού μπορούν να διαρρεύσουν. Ειδικά για το ηλεκτρονικό εμπόριο, όπου στα δίκτυα των οργανισμών φυλάσσονται έμπιστα δεδομένα, απαιτείται ένα υψηλό επίπεδο ασφάλειας δικτύου. Πρέπει δηλαδή να εμποδίζονται οι εξωτερικοί χρήστες από το να προσεγγίσουν τις ιδιωτικές πληροφορίες του οργανισμού έτσι ώστε τα προσωπικά δεδομένα των πελατών του οργανισμού ηλεκτρονικού εμπορίου να προστατεύονται από μη εξουσιοδοτημένη πρόσβαση. Συνεπώς είναι απαραίτητη η ασφάλεια περιμέτρου του ιδιόκτητου δικτύου. Ως Περίμετρος Δικτύου ορίζονται, σύμφωνα με την ΑΔΑΕ, «όλα τα σημεία πρόσβασης του δικτύου του παρόχου σε εξωτερικά δίκτυα (π.χ. διαδίκτυο)». Σύμφωνα πάντα με την ΑΔΑΕ, κάθε οργανισμός που συνδέει το εσωτερικό του δίκτυο με κάποιο δημόσιο δίκτυο, π.χ. το διαδίκτυο, θα πρέπει να εφαρμόζει μια πολιτική ασφάλειας περιμέτρου. Ο πρωταρχικός σκοπός της πολιτικής αυτής είναι να προστατεύσει τους διάφορους πόρους του οργανισμού από εισβολείς, δηλαδή να αποτρέψει τη μη εξουσιοδοτημένη πρόσβαση σε στοιχεία του δικτύου του οργανισμού. Η ΑΔΑΕ υποχρεώνει κάθε πάροχο διαδικτύου, οπότε έμμεσα και κάθε οργανισμό ηλεκτρονικού εμπορίου, να χρησιμοποιεί συστήματα firewall για την προστασία των συνδέσεων του δικτύου του με το διαδίκτυο και επιπλέον τον υποχρεώνει να χρησιμοποιεί συστήματα ανίχνευσης εισβολών για την ενίσχυση της προστασίας του δικτύου του. Ένα σύστημα firewall καλείται να λειτουργήσει ως ένας μηχανισμός «περιμετρικής άμυνας», ο οποίος δρα συμπληρωματικά με τους υπόλοιπους μηχανισμούς ασφάλειας. Σκοπός του είναι ο έλεγχος και η καταγραφή όλων των προσπαθειών προσπέλασης οι οποίες κατευθύνονται προς το προστατευόμενο σύστημα, με το να επιτρέπει, να απαγορεύει ή να ανακατευθύνει τη ροή των δεδομένων μέσω των μηχανισμών του. Τα συστήματα ανίχνευσης εισβολών (IDS) προσπαθούν να ανιχνεύσουν οποιαδήποτε παράνομη δραστηριότητα στοχεύει σε δικτυακούς και υπολογιστικούς πόρους. Τα συστήματα αυτά συλλέγουν πληροφορίες από μια πληθώρα δικτυακών πηγών και συστημάτων και στη συνέχεια αναλύουν τις πληροφορίες για ενδείξεις εισβολής, προβαίνοντας σε κατάλληλες ενέργειες αντιμετώπισης. Τα firewalls και τα IDS αποτελούν αναμφισβήτητα ένα πανίσχυρο εργαλείο υλοποίησης σημαντικού μέρους της πολιτικής ασφάλειας των οργανισμών ηλεκτρονικού εμπορίου που εκθέτουν τους πόρους τους στο διαδίκτυο. Στη συνέχεια του κεφαλαίου αυτού γίνεται μια αναλυτική περιγραφή των δυνατοτήτων και των περιορισμών των δύο αυτών σημαντικών τεχνολογιών για την ασφάλεια περιμέτρου, των firewalls και των IDS. 57

59 4.1 Firewalls. Τα δίκτυα των οργανισμών, επιχειρήσεων αλλά και τα οικιακά συνδέονται με το διαδίκτυο για την πραγματοποίηση των ηλεκτρονικών συναλλαγών. Όπως αναφέρθηκε παραπάνω, αυτό εγκυμονεί κινδύνους, αφού οι χρήστες του διαδικτύου μπορούν να προσεγγίσουν τις ιδιωτικές πληροφορίες του οργανισμού. Για έναν οργανισμό ηλεκτρονικού εμπορίου είναι πολύ σημαντικό να μπορεί να διαφυλάξει τα προσωπικά δεδομένα των πελατών του από μη εξουσιοδοτημένη πρόσβαση. Είναι επιθυμητό να υπάρχει ένα είδος διαχωρισμού ανάμεσα στο δίκτυο του οργανισμού και το διαδίκτυο. Η παρεμβολή ενός ενδιάμεσου συστήματος ανάμεσα στα δύο δίκτυα θα μπορούσε να τα διαχωρίσει. Ένα τέτοιο ενδιάμεσο σύστημα θα προστατεύει το ιδιόκτητο δίκτυο από επιθέσεις που προέρχονται από τον έξω κόσμο και θα παρέχει ένα μοναδικό σημείο ελέγχου, όπου θα ελέγχεται η κίνηση από και προς το δίκτυο. Επιπλέον το ενδιάμεσο αυτό σύστημα θα μπορούσε να χρησιμοποιηθεί και για συλλογή πληροφοριών διαχείρισης για χρήση του δικτύου, αφού μπορεί να καταγράφει οτιδήποτε διακινείται από ή προς το δίκτυο. Αυτά τα ενδιάμεσα συστήματα ονομάζονται φράγματα ασφαλείας (firewalls). Firewall είναι ένας μηχανισμός που χρησιμοποιείται για να ελέγχει την πρόσβαση από και προς το ιδιόκτητο δίκτυο με απώτερο σκοπό την προστασία του δικτύου. Λειτουργεί σαν μια πύλη από την οποία περνάει όλη η κίνηση δεδομένων από και προς το εξωτερικό δίκτυο. Στην πύλη εξετάζεται και αποφασίζεται αν θα επιτραπεί ή όχι η διέλευση των δεδομένων, σύμφωνα με την πολιτική ασφάλειας που εφαρμόζει ο οργανισμός του συστήματος. Το firewall δεν είναι απλώς ένα σύνολο συνιστωσών λογισμικού ή υλικού, αλλά η τεχνική έκφραση μιας συγκεκριμένης στρατηγικής προστασίας των πόρων ενός οργανισμού. Ένα firewall είναι ουσιαστικά ένα «τείχος» ασφάλειας μεταξύ του μη ασφαλούς δημόσιου δικτύου και του ιδιόκτητου δικτύου που θεωρείται ασφαλές και αξιόπιστο. Το πιο δύσκολο κομμάτι για την υλοποίηση του firewall είναι η εύρεση των κριτηρίων που θα προσδιορίσουν ποια πακέτα επιτρέπεται και ποια όχι να περάσουν στο «απέναντι» δίκτυο. Ένα firewall δεν μπορεί να λειτουργήσει σωστά, ανεξαρτήτως του πως έχει σχεδιαστεί ή υλοποιηθεί, εάν δεν έχει καθοριστεί μια σαφής πολιτική ασφάλειας. Το firewall που λειτουργεί σωστά υλοποιεί και ενισχύει την πολιτική ασφάλειας που βρίσκεται κάθε φορά σε ισχύ και πρέπει να είναι συγκεκριμένη και σαφής. Το firewall αποτελεί την πρώτη γραμμή άμυνας του οργανισμού απέναντι στους επίδοξους εισβολείς, αλλά ποτέ τη μοναδική. Η χρήση ενός φράγματος ασφάλειας δεν αποτελεί πανάκεια για την ασφάλεια του δικτύου. Όπως όλα τα συστήματα ασφάλειας μπορεί να παραβιαστεί από κάποιον ικανό εισβολέα. Επιπλέον το firewall αλληλεπιδρά με το διαδίκτυο και χρειάζεται ιδιαίτερη προσοχή στην εγκατάσταση του και την σωστή διαμόρφωσή του Η Αναγκαιότητα Χρήσης των Firewalls Σε ένα περιβάλλον χωρίς firewalls η δικτυακή ασφάλεια αποτελεί αποκλειστικά μέριμνα του κάθε σταθμού ξεχωριστά και όλοι οι σταθμοί πρέπει να συνεργάζονται ώστε να παρέχουν ένα ομοιόμορφα υψηλό επίπεδο ασφάλειας. Όσο πιο μεγάλο είναι το δίκτυο, τόσο πιο δύσκολα επιτυγχάνεται η διατήρηση όλων των σταθμών σε υψηλά επίπεδα ασφάλειας. Εξαιτίας της πολυπλοκότητας του δικτύου, τα λάθη και οι παραλήψεις στην ασφάλεια είναι συχνό φαινόμενο, με αποτέλεσμα να δημιουργούνται «οπές» ασφάλειας τις οποίες μπορούν να ανακαλύψουν και να 58

60 εκμεταλλευτούν οι εισβολείς. Τα firewalls έχουν σχεδιαστεί έτσι ώστε να παρέχουν προηγμένες λειτουργίες παρακολούθησης και καταγραφής και η διαχείριση τους να είναι σχετικά εύκολή.[21] Δυνατότητες των Firewalls. Η λειτουργικότητα των firewalls εκτείνεται στα ακόλουθα: Το firewall αποτελεί το επίκεντρο των αποφάσεων που σχετίζονται με θέματα ασφάλειας: Το firewall απλοποιεί τη διαχείριση ασφάλειας, αφού ο έλεγχος προσπέλασης στο δίκτυο επικεντρώνεται κυρίως σε αυτό το σημείο, το οποίο συνδέει τον οργανισμό με τον εξωτερικό κόσμο, και όχι στον κάθε υπολογιστή χωριστά μέσα σε ολόκληρο το δίκτυο. Το firewall εφαρμόζει έλεγχο προσπέλασης από και προς το δίκτυο, υλοποιώντας την πολιτική ασφάλειας του οργανισμού: Με βάση την καθορισμένη πολιτική ασφάλειας η οποία περιγράφει σε ποια πακέτα και σε ποιες συνόδους επιτρέπεται η είσοδος ή έξοδος, το firewall αποφασίζει εάν θα επιτρέψει ή θα αρνηθεί τη διέλευση ενός πακέτου ή την έναρξη μιας συνόδου, αφού προηγουμένως πιστοποιήσει την ταυτότητα τόσο των πακέτων, όσο και των συνόδων. Το firewall προσφέρει αποτελεσματική καταγραφή της δραστηριότητας στο δίκτυο: Εφόσον όλη η κίνηση διέρχεται από το firewall, μπορεί αυτό να καταγράφει όλες τις επιτρεπόμενες και μη δραστηριότητες σε ένα αρχείο συμβάντων, το οποίο είναι διαθέσιμο στο διαχειριστή του δικτύου. Το firewall προστατεύει τα διαφορετικά δίκτυα εντός του ίδιου οργανισμού: Μερικές φορές το firewall μπορεί να χρησιμοποιηθεί για να διαχωρίσει ένα τμήμα του δικτύου από κάποιο άλλο. Με τον τρόπο αυτό μπορούμε να αποτρέψουμε την εξάπλωση σε ολόκληρο το δίκτυο ενδεχόμενων προβλημάτων που επηρεάζουν ένα συγκεκριμένο τμήμα. Το firewall έχει τη δυνατότητα απόκρυψης των πραγματικών διευθύνσεων της επιχείρησης: Τα τελευταία χρόνια το Internet αντιμετωπίζει πρόβλημα διαθέσιμων IP διευθύνσεων. Οι οργανισμοί που επιθυμούν να συνδεθούν με το Internet μπορεί να μην έχουν διαθέσιμες πραγματικές IP διευθύνσεις. Το firewall ενσωματώνει το NAT (Network Address Translator), το οποίο μεταφράζει τις εσωτερικές διευθύνσεις σε πραγματικές, λύνοντας έτσι το πρόβλημα της έλλειψης διευθύνσεων Αδυναμίες των Firewalls. Ένα firewall προσφέρει εξαιρετική προστασία απέναντι σε απειλές κατά του δικτύου, αλλά δεν αποτελεί ολοκληρωμένη λύση ασφάλειας. Υπάρχουν συγκεκριμένες απειλές, οι οποίες βρίσκονται πέρα από τις δυνατότητες ελέγχου του firewall. 59

61 Οι αδυναμίες των firewalls είναι οι ακόλουθες: Το firewall δεν μπορεί να προστατεύσει από προγράμματα-ιούς: Τα firewalls δεν ασκούν σε βάθος έλεγχο των δεδομένων που εισέρχονται στο δίκτυο. Απλά εξετάζουν τις διευθύνσεις και τις θύρες προέλευσης και προορισμού, για να καθορίσουν εάν επιτρέπεται η είσοδος στο εσωτερικό δίκτυο. Το firewall δεν μπορεί να προστατεύσει απέναντι στις επιθέσεις κακόβουλων χρηστών από το εσωτερικό του οργανισμού: Οι εσωτερικοί χρήστες είναι σε θέση να υποκλέψουν δεδομένα, να καταστρέψουν υλικό και λογισμικό, να τροποποιήσουν προγράμματα και γενικότερα να παραβιάσουν την πολιτική ασφάλειας του οργανισμού χωρίς καν να έρθουν σε επαφή με το firewall. Οι εσωτερικές απειλές απαιτούν εσωτερικά μέτρα ασφάλειας, όπως ασφάλεια σε επίπεδο ξενιστή υπολογιστή (host security). Το firewall δε μπορεί να προστατέψει τον οργανισμό απέναντι σε επιθέσεις συσχετιζόμενες με δεδομένα: Τέτοιου είδους επιθέσεις συμβαίνουν όταν φαινομενικώς ακίνδυνα δεδομένα εισάγονται σε κάποιον από τους εξυπηρετητές του οργανισμού, είτε διαμέσου του ηλεκτρονικού ταχυδρομείου, είτε διαμέσου της αντιγραφής από δισκέτα και εκτελούνται με σκοπό να εξαπολύσουν επίθεση εναντίον του συστήματος. Το firewall δεν μπορεί να προστατέψει τον οργανισμό από απειλές άγνωστου τύπου: Το firewall μπορεί να προστατέψει το δίκτυο μόνο από γνωστές απειλές που έχουν αντιμετωπιστεί στο παρελθόν, εφόσον διαθέτει την απαιτούμενη τεχνολογία. Το firewall δεν μπορεί να προστατέψει από συνδέσεις οι οποίες δε διέρχονται από αυτό: Αν για παράδειγμα επιτρέπεται σε κάποιους έμπιστους χρήστες να έχουν πρόσβαση στο διαδίκτυο παρακάμπτοντας τους μηχανισμούς ασφάλειας του firewall, τότε το firewall δεν μπορεί να προστατέψει τις συνδέσεις αυτές. Ένα firewall μπορεί να ελέγξει αποτελεσματικά την κίνηση που διέρχεται μέσα από αυτό. Η αυστηρή ρύθμιση της ασφάλειας διαμέσου του firewall: Είναι δυνατό ένα firewall να ρυθμιστεί με πολύ αυστηρό τρόπο, με κίνδυνο να εμποδίσει τη διαδικτύωση ή να προκαλεί δυσαρέσκεια στους χρήστες, εξαιτίας των πολλών ελέγχων και της ελαττωμένης φιλικότητας και ευχρηστίας που εισάγει Ζητήματα Σχεδίασης των Firewalls. Η υλοποίηση ενός firewall δεν αποτελεί τετριμμένο θέμα και δεν παρέχεται ενσωματωμένη σε κανένα λειτουργικό σύστημα. Ο λόγος είναι ότι ένα firewall αποτελεί περισσότερο φιλοσοφία προστασίας και λιγότερο υλικό και λογισμικό που παρέχει πλήρη προστασία από κάθε εξωτερική απειλή. Υπάρχει μια αντίληψη ότι το firewall εξασφαλίζει την πλήρη προστασία ενός δικτύου απέναντι σε κάθε είδους απειλή η οποία είναι τελείως λανθασμένη και μπορεί να οδηγήσει το διαχειριστή ασφάλειας ενός οργανισμού στην καταστροφική άποψη ότι με την εγκατάσταση ενός firewall είναι εγγυημένη η ασφάλεια του εσωτερικού δικτύου του οργανισμού την οποία διαχειρίζεται. Η εγκατάσταση ενός firewall αποτελεί σημαντική σχεδιαστική απόφαση για τους παρακάτω λόγους: 1) Η εγκατάσταση ενός firewall επιφέρει καθυστέρηση στο χρόνο απόκρισης των προγραμμάτων που υλοποιούν τις υπηρεσίες που παρέχει η ιστοθέση. 60

62 2) Η εγκατάσταση ενός firewall θα επιφέρει αναστάτωση, για κάποιο χρονικό διάστημα, στο προσωπικό του οργανισμού μέχρι αυτό να εξοικειωθεί με τις ήδη υπάρχουσες υπηρεσίες, που όμως τώρα θα υλοποιούνται με διαφορετικό τρόπο. Αυτό συμβαίνει επειδή δεν υλοποιούνται όλες ανεξαιρέτως οι υπηρεσίες διαμέσου του firewall με διαφανή τρόπο ως προς το χρήστη. 3) Κατά την εγκατάσταση ενός firewall, οι υπηρεσίες δε θα μπορούν να παρέχονται στους χρήστες για περιορισμένο διάστημα κάτι το οποίο μπορεί επίσης να προκαλέσει προβλήματα. 4) Απαιτείται συνεχής συντήρηση και ενημέρωση ενός firewall, καθώς προστίθενται νέες υπηρεσίες και απαξιώνονται παλαιότερες. Εφόσον ληφθούν υπόψη τα παραπάνω και παρθεί η απόφαση για την εγκατάσταση ενός firewall, υπάρχουν ορισμένα σχεδιαστικά ζητήματα τα οποία θα πρέπει να αντιμετωπιστούν. Τα ζητήματα αυτά περιλαμβάνουν τα εξής: Χρηστικότητα (usability) του firewall: Τα firewalls χρησιμοποιούνται για να παρέχουν ασφάλεια στα δίκτυα. Το πιο ασφαλές δίκτυο είναι αυτό που δεν συνδέεται με κανένα άλλο δίκτυο, κάτι το οποίο προφανώς δεν είναι καθόλου αποδοτικό, αφού οι χρήστες του δικτύου δε θα μπορούν να έχουν πρόσβαση σε εξωτερικούς πόρους και ούτε οι κλασσικές εφαρμογές ηλεκτρονικού εμπορίου θα μπορούν να πραγματοποιούνται. Πρέπει συνεπώς να γίνουν συμβιβασμοί μεταξύ ασφάλειας και χρηστικότητας. Εκτίμηση του κινδύνου: Η διασύνδεση με εξωτερικό δίκτυο περιέχει κινδύνους. Επομένως απαιτείται η εκτίμηση της επίδρασης που θα έχει η εισβολή μιας εξωτερικής οντότητας που αποκτά πρόσβαση στο δίκτυο. Οπότε πρέπει η σχεδίαση του firewall να γίνει με τέτοιο τρόπο ώστε ζώνες διαφορετικού κινδύνου να προστατεύονται διαφορετικά. Εκτίμηση των απειλών: Κατά τη διασύνδεση του δικτύου ενός οργανισμού με άλλα δίκτυα, απαιτείται η εκτίμηση των απειλών από τις οποίες κινδυνεύει το δίκτυο. Αν πρόκειται για διασύνδεση με το εξωτερικό τμήμα του ίδιου οργανισμού, τότε το επίπεδο των απειλών είναι χαμηλό αφού πρόκειται για έμπιστους συνεργάτες. Εάν όμως πρόκειται για διασύνδεση με το διαδίκτυο, υπάρχουν σοβαρές απειλές. Εκτίμηση του κόστους: Προκειμένου ένας οργανισμός να αποκτήσει firewall, έχει δύο επιλογές: είτε να αγοράσει ένα εμπορικό προϊόν, είτε να το κατασκευάσει ο ίδιος ο οργανισμός. Για να πάρει όμως τη σωστή απόφαση ο οργανισμός πρέπει να υπολογίσει ακριβώς το κόστος υλοποίησης του firewall. Τύπος firewall: Υπάρχουν διάφοροι τύποι firewalls. Είναι προφανές ότι πρέπει να επιλεγεί ο κατάλληλος τύπος firewall, ο οποίος ικανοποιεί τις ανάγκες του οργανισμού.[7] Πολιτική Σχεδίασης των Firewalls. Όπως προαναφέρθηκε, το firewall αποτελεί μια φιλοσοφία ασφάλειας και βοηθά στην υλοποίηση μιας ευρύτερης πολιτικής ασφάλειας που καθορίζει τις υπηρεσίες και την πολιτική προσπέλασης σε ένα δίκτυο. Υπάρχουν γενικά δύο επίπεδα πολιτικής ασφάλειας που επηρεάζουν άμεσα το σχεδιασμό, την εγκατάσταση και τη χρήση ενός firewall: 61

63 1) Η υψηλού επιπέδου πολιτική ή αλλιώς πολιτική πρόσβασης σε υπηρεσίες. Αυτή καθορίζει τα πρωτόκολλα της στοίβας TCP/IP και τις υπηρεσίες που θα πρέπει να επιτρέπονται ή να απαγορεύονται από το προστατευόμενο δίκτυο. 2) Η χαμηλού επιπέδου πολιτική ή αλλιώς πολιτική σχεδίασης του φράγματος ασφάλειας. Αυτή περιγράφει το πώς λειτουργεί το φράγμα ασφαλείας και υλοποιεί τους περιορισμούς στα πρωτόκολλα TCP/IP και στις υπηρεσίες, όπως αυτοί υπαγορεύονται από την πολιτική πρόσβασης υψηλού επιπέδου. Η πολιτική ασφάλειας του firewall πρέπει να είναι όσο το δυνατό πιο ευέλικτη, λόγω του ότι το διαδίκτυο συνεχώς αλλάζει, προσφέρει καινούργιες υπηρεσίες, μεθόδους και επιχειρηματικές δυνατότητες και συνεπώς οι ανάγκες του οργανισμού μπορεί να αλλάζουν με το χρόνο. Οι καινούργιες υπηρεσίες όμως, εγείρουν και καινούργια θέματα ασφάλειας τα οποία πρέπει να αντιμετωπίσει η πολιτική ασφάλειας των firewalls. Πολιτική Πρόσβασης σε Υπηρεσίες. Η πολιτική πρόσβασης σε υπηρεσίες ενός οργανισμού αποτελεί επέκταση της γενικότερης πολιτικής του οργανισμού για την προστασία των πληροφοριακών του πόρων. Για να είναι ρεαλιστική η πολιτική πρόσβασης σε υπηρεσίες πρέπει να διασφαλίζει την προστασία του δικτύου από υπαρκτούς κινδύνους ασφάλειας, ενώ ταυτόχρονα να παρέχει στους χρήστες ικανοποιητική πρόσβαση στους πόρους του δικτύου. Μια τυπική πολιτική είναι να επιτρέπεται μερική πρόσβαση των έξω προς το δίκτυο και επιπλέον αυτή η πρόσβαση να δίνεται μόνο όταν είναι απαραίτητο και μόνο σε συγκεκριμένους εξουσιοδοτημένους χρήστες των οποίων η ταυτότητα πιστοποιείται. Για να είναι το firewall που θα υλοποιήσει την πολιτική πρόσβασης επιτυχημένο, πρέπει αυτή να είναι ρεαλιστική και να αντικατοπτρίζει το επίπεδο ασφάλειας που απαιτείται για το δίκτυο του οργανισμού. Ένας δικτυακός τόπος υψίστης ασφάλειας και απόρρητων δεδομένων δεν χρειάζεται καθόλου την ύπαρξη firewall γιατί απλούστατα δεν θα πρέπει καν να είναι συνδεδεμένος στο διαδίκτυο. Μια ρεαλιστική πολιτική πρόσβασης σε υπηρεσίες είναι εκείνη που παρέχει μια ισορροπία ανάμεσα στην προστασία του ιδιόκτητου δικτύου από γνωστούς κινδύνους ασφάλειας και τη διατήρηση της πρόσβασης των χρηστών του δικτύου σε εξωτερικούς πόρους όπως το διαδίκτυο. Γενικά υπάρχει συμβιβασμός μεταξύ της προσβασιμότητας και της ασφάλειας των πόρων του συστήματος. Πολιτική Σχεδιασμού του Firewall. Η πολιτική σχεδιασμού του firewall ορίζει του κανόνες που χρησιμοποιούνται από το firewall για την υλοποίηση της πολιτικής πρόσβασης σε υπηρεσίες. Υπάρχουν δύο γενικές στρατηγικές που μπορεί να υλοποιεί ένα φράγμα ασφάλειας: 1) Να επιτρέπει τη διέλευση πακέτων που αντιστοιχούν σε κάθε υπηρεσία εκτός και αν μια υπηρεσία απαγορεύεται ρητά. 2) Να απαγορεύει τη διέλευση πακέτων κάθε είδους υπηρεσίας εκτός και αν αυτή επιτρέπεται ρητά. Ένα firewall που ακολουθεί την πρώτη στρατηγική επιτρέπει να περάσει κάθε είδος κίνησης υπηρεσιών και πρωτοκόλλων του TCP/IP, με εξαίρεση εκείνες τις υπηρεσίες και τα πρωτόκολλα που χαρακτηρίζονται ως απαγορευμένα από την πολιτική πρόσβασης. Από τη σκοπιά της ασφάλειας αυτή η στρατηγική είναι λιγότερο επιθυμητή αφού προσφέρει πολλές οδούς παράκαμψης του firewall από επίδοξους εισβολείς. 62

64 Ένα firewall που ακολουθεί τη δεύτερη στρατηγική αρνείται να εξυπηρετήσει την κίνηση όλων των υπηρεσιών και πρωτοκόλλων του TCP/IP εκτός και αν αυτές χαρακτηρίζονται ρητά ως επιτρεπόμενες από την πολιτική πρόσβασης. Από τη σκοπιά της ασφάλειας αυτή η στρατηγική προτιμάται, αν και είναι δυσκολότερο να υλοποιηθεί. Για να οδηγηθεί μια επιχείρηση σε μια πολιτική σχεδίασης του firewall και τελικά σε ένα ολοκληρωμένο σύστημα που υλοποιεί την πολιτική αυτή, καλό θα ήταν να ξεκινήσει ακολουθώντας τη δεύτερη στρατηγική. Στη συνέχεια ο σχεδιαστής ασφάλειας πρέπει να λάβει υπόψη του τα εξής: o Ποιες υπηρεσίες του Internet σχεδιάζει η επιχείρηση να χρησιμοποιήσει (π.χ. Telnet, ftp). o Πώς θα γίνεται η χρήση των υπηρεσιών (π.χ. σε τοπική βάση, διαμέσου του Internet, με χρήση dial-up υπηρεσίας από το σπίτι). o Τι επιπρόσθετες ανάγκες και υπηρεσίες (π.χ. κρυπτογραφία) μπορούν να υποστηριχθούν. o Πώς προσδιορίζεται η σχέση που συνδέει την ασφάλεια με τη λειτουργικότητα. Σε περίπτωση σύγκρουσης σε ποια από τις δύο έννοιες δίνεται προτεραιότητα. [21] Αρχιτεκτονική των Firewalls. Ένα από τα βασικά ζητήματα σχεδίασης είναι η επιλογή κατάλληλου τύπου firewall, ο οποίος ανταποκρίνεται στις ανάγκες του οργανισμού που επιθυμεί την εγκατάσταση του. Τα firewalls ανάλογα με το επίπεδο στο οποίο λειτουργούν και ανάλογα με το βαθμό λειτουργικότητας τους διακρίνονται σε φίλτρα πακέτων και πύλες εφαρμογών Φίλτρα Πακέτων. Ένα φίλτρο πακέτων (ή firewall επιπέδου δικτύου) είναι μια δικτυακή συσκευή με πολλές θύρες που εφαρμόζει ένα σύνολο κανόνων σε κάθε εισερχόμενο πακέτο IP ώστε να αποφασίσει για το αν θα του επιτραπεί η διέλευση ή θα απορριφθεί. Τα πακέτα IP φιλτράρονται ανάλογα με τις πληροφορίες που βρίσκονται στην επικεφαλίδα τους (header), όπως: Τον αριθμό πρωτοκόλλου που δείχνει το είδος του πρωτοκόλλου που χρησιμοποιείται. Τη διεύθυνση IP του αποστολέα. Τη διεύθυνση IP του αποδέκτη. Το TCP ή UDP port προέλευσης. Το TCP ή UDP port προορισμού. Άλλες πληροφορίες. Γενικά τα φίλτρα πακέτων δεν έχουν μνήμη κατάστασης. Κάθε πακέτο IP εξετάζεται ξεχωριστά και ανεξάρτητα του τι συνέβη στο παρελθόν. Υπάρχουν όμως και μερικά πιο εξελιγμένα φίλτρα πακέτων που διατηρούν μια λίστα με τα δεδομένα κατάστασης των πακέτων που φτάνουν στο φίλτρο. Οι πληροφορίες των πακέτων που προηγήθηκαν, επιτρέπουν στα μελλοντικά πακέτα που αντιστοιχούν στην ίδια σύνοδο να περάσουν ή να απορριφθούν χωρίς πολλούς ελέγχους. Δηλαδή τα συγκεκριμένα φίλτρα πακέτων ελέγχουν συνόδους δικτύου και όχι 63

65 μεμονωμένα πακέτα. Μια σύνοδος δικτύου αποτελείται από πακέτα τα οποία κινούνται και προς τι δύο κατευθύνσεις. Τα απλά φίλτρα πακέτων απαιτούν δύο κανόνες για κάθε σύνοδο: Έλεγχος πακέτων τα οποία κατευθύνονται από υπολογιστή προέλευσης προς υπολογιστή προορισμού, και έλεγχος πακέτων τα οποία επιστρέφουν από υπολογιστή προορισμού προς υπολογιστή προέλευσης. Τα εξελιγμένα φίλτρα πακέτων δεν απαιτούν την ύπαρξη του δεύτερου κανόνα. Επιπλέον με βάση τις πληροφορίες των παλαιότερων πακέτων που μπορούν να αποθηκεύσουν τα εξελιγμένα φίλτρα, μπορούν να εξαχθούν στατιστικά στοιχεία σχετικά με την κίνηση των πακέτων. Σχήμα 4.1: Τοποθέτηση ενός φίλτρου πακέτων μεταξύ ενός ιδιωτικού δικτύου και του διαδικτύου. Τα περισσότερα φίλτρα πακέτων συμπεριφέρονται και σαν δρομολογητές και ονομάζονται «δρομολογητές διαλογής». Ένας απλός δρομολογητής όταν δεχθεί ένα πακέτο, κοιτάζει την επικεφαλίδα του και εξετάζει τη διεύθυνση προορισμού. Αν ο δρομολογητής γνωρίζει πώς να στείλει το πακέτο τότε το δρομολογεί. Αν όμως δε γνωρίζει επιστρέφει το πακέτο στον αποστολέα. Ένας δρομολογητής διαλογής εξετάζει το πακέτο διεξοδικότερα. Έτσι δεν καθορίζει μόνο εάν το πακέτο μπορεί να δρομολογηθεί προς τον προορισμό του, αλλά και το αν πρέπει να δρομολογηθεί, εφαρμόζοντας την πολιτική ασφάλειας που έχει καθορίσει ο οργανισμός. Συνεπώς κάθε δρομολογητής διαλογής φιλτράρει τα πακέτα και επιπλέον τα δρομολογεί. Ένα firewall επιπέδου δικτύου (φίλτρο πακέτου, δρομολογητής διαλογής) μπορεί να εμποδίσει ή να επιτρέψει συγκεκριμένους τύπους συνδέσεων, εφαρμόζοντας πάντα την πολιτική προσπέλασης του οργανισμού στον οποίο είναι εγκατεστημένο. Οι εξυπηρετητές που παρέχουν συγκεκριμένες Internet υπηρεσίες συνδέονται σε κάποια ειδική θύρα (port). Έτσι προσδιορίζοντας τον κατάλληλο αριθμό θύρας (π.χ. το TCP port 23 Telnet συνδέσεις) μπορεί το firewall να επιτρέψει ή μη συγκεκριμένη σύνδεση. Για παράδειγμα μπορεί κάποιο firewall να επιτρέπει τις υπηρεσίες (port 25), FTP (File Transfer Protocol, port 21), και Telnet (port 23) και να εμποδίζει όλες τις υπόλοιπες συνδέσεις. Τα συγκεκριμένα firewalls είναι ίσως τα πιο απλά στην υλοποίηση και χρησιμοποιούνται κυρίως σε δικτυακούς τόπους με μικρή πολυπλοκότητα. Παρουσιάζουν όμως κάποια μειονεκτήματα και για το λόγο αυτό αποφεύγονται σε μεγαλύτερους δικτυακούς τόπους Πλεονεκτήματα και Μειονεκτήματα Φίλτρων Πακέτων (και Δρομολογητών Διαλογής). Τα σημαντικότερα πλεονεκτήματα των φίλτρων πακέτων και των δρομολογητών διαλογής είναι τα εξής: 64

66 Το φιλτράρισμα πακέτων είναι φθηνή τεχνολογία. Το φιλτράρισμα πακέτων είναι μια διαφανής διεργασία για τους χρήστες: Επειδή τα firewalls αυτής της κατηγορίας δεν ασχολούνται καθόλου με το τμήμα δεδομένων του πακέτου, δεν είναι απαραίτητο οι χρήστες να μάθουν κάποιες ιδιαίτερες εντολές για να τα χειρίζονται. Τα firewalls αυτής της κατηγορίας εγκαθίστανται και διαμορφώνονται πολύ εύκολα. Η τεχνολογία των φίλτρων πακέτων και των δρομολογητών διαλογής δεν στηρίζεται στην κρυπτογραφία και έτσι μπορεί να εξαχθεί από τις ΗΠΑ ελεύθερα. Αυτό επιτρέπει την πώληση προϊόντων που χρησιμοποιούν τεχνολογία φιλτραρίσματος πακέτων σε όλο τον κόσμο. Τα φίλτρα πακέτων και οι δρομολογητές διαλογής έχουν ορισμένες αδυναμίες και μειονεκτήματα. Η κυριότερη αδυναμία τους έγκειται στην πολυπλοκότητα της ορθής ρύθμισης και διαχείρισης των κανόνων φιλτραρίσματος. Ειδικότερα: Το να οριστούν σωστά οι κατάλληλοι κανόνες φιλτραρίσματος είναι μια δύσκολη και επιρρεπής σε λάθη διαδικασία. Η σειρά με την οποία πρέπει να εισαχθούν οι κανόνες φιλτραρίσματος παίζει σπουδαίο ρόλο και καθιστά ακόμη πιο δύσκολη την εύρεση ενός κατάλληλου συνόλου κανόνων. Πρέπει μερικές φορές να υπάρχουν εξαιρέσεις στους κανόνες φιλτραρίσματος, ώστε να επιτρέπονται μερικά είδη υπηρεσιών που κανονικά θα έπρεπε να παρεμποδιστούν. Οι εξαιρέσεις αυτές καθιστούν το σύνολο των κανόνων πολύπλοκο. Κάθε firewall επιπέδου δικτύου αποφασίζει για κάθε πακέτο αν θα το προωθήσει ή θα το απορρίψει βασιζόμενο σε μη πιστοποιημένη πληροφορία. Οποιοσδήποτε σταθμός θα μπορούσε να προσποιηθεί ότι είναι κάποιος άλλος, αλλάζοντας την IP διεύθυνση προέλευσης στα πακέτα του. Το πρωτόκολλο IPSP (IP Security Policy) προστατεύει από τέτοιου είδους επιθέσεις. Έτσι ένας δρομολογητής διαλογής χρησιμοποιώντας το πρωτόκολλο IPSP μπορεί να ρυθμιστεί ώστε να απορρίπτει κάθε πακέτο IP που δεν είναι κατάλληλα πιστοποιημένο από μια έγκυρη επικεφαλίδα πιστοποίησης Πύλες Εφαρμογών (Application Gateways). Οι πύλες εφαρμογών επιτρέπουν στον διαχειριστή να υλοποιήσει μια αυστηρότερη πολιτική ασφάλειας. Στο μοντέλο πελάτη/εξυπηρετητή η πύλη εφαρμογών είναι μια ενδιάμεση διεργασία που τρέχει μεταξύ του πελάτη που ζητάει μια συγκεκριμένη υπηρεσία και του εξυπηρετητή που παρέχει αυτή την υπηρεσία. Δηλαδή η πύλη εφαρμογών λειτουργεί ως εξυπηρετητής από τη σκοπιά του πελάτη και ως πελάτης από τη σκοπιά του εξυπηρετητή. Μια πύλη εφαρμογών μπορεί να λειτουργεί είτε στο επίπεδο εφαρμογής είτε στο επίπεδο μεταφοράς του TCP/IP. Αν η πύλη λειτουργεί στο επίπεδο εφαρμογής ονομάζεται πύλη επιπέδου εφαρμογής (application-level gateway) ή απλά πύλη εφαρμογών. Αντίστοιχα αν η πύλη λειτουργεί στο επίπεδο μεταφοράς ονομάζεται πύλη επιπέδου κυκλώματος (circuit-level gateway). Οι περισσότερες πύλες που χρησιμοποιούνται σε διατάξεις firewalls λειτουργούν στο επίπεδο εφαρμογής, είναι δηλαδή πληρεξούσιοι εξυπηρετητές (proxy servers). 65

67 Όταν ένας χρήστης που βρίσκεται στο εσωτερικό δίκτυο θέλει να επικοινωνήσει με μια υπηρεσία του εξωτερικού δικτύου, η πύλη εφαρμογών παρεμβάλλεται. Δηλαδή αντί ο χρήστης να επικοινωνήσει άμεσα με την υπηρεσία, επικοινωνεί με την πύλη εφαρμογών η οποία διαχειρίζεται παρασκηνιακά όλη τη μεταξύ τους επικοινωνία. Συγκεκριμένα όταν ένας πελάτης συνδέεται με την πύλη εφαρμογών χρησιμοποιώντας ένα από τα πρωτόκολλα εφαρμογής του TCP/IP, όπως το Telnet ή το FTP, η πύλη του ζητά πληροφορίες όπως ένα όνομα εισόδου (login) και ένα κωδικό πρόσβασης (password) για την πιστοποίηση της ταυτότητας του. Αν η πύλη αναγνωρίσει και δεχτεί το χρήστη, ο χρήστης της δίνει το όνομα του απομακρυσμένου συστήματος (υπηρεσία) που επιθυμεί να προσπελάσει, η πύλη εφαρμογών συνδέεται για λογαριασμό του χρήστη με αυτό το απομακρυσμένο σύστημα και εγκαθιστά μια δευτερεύουσα σύνδεση. Στη συνέχεια μετάγει τα δεδομένα της εφαρμογής μεταξύ των δύο συνδέσεων. Στην περίπτωση μιας πύλης εφαρμογών μπορεί η κίνηση δεδομένων να παρακολουθείται και επιπλέον να επιβληθούν εξειδικευμένοι περιορισμοί σχετικά με την κίνηση αυτών από και προς το ιδιωτικό δίκτυο με σκοπό να αποτραπεί η υποκλοπή πολύτιμων προγραμμάτων ή δεδομένων. Σχήμα 4.2: Τοποθέτηση μιας πύλης εφαρμογών μεταξύ ενός ιδιωτικού δικτύου και του διαδικτύου. Η πύλη εφαρμογών φιλοξενείται σε ένα υπολογιστή γενικού σκοπού, ο οποίος ονομάζεται Bastion host (ή υπολογιστής-οχυρό). Ο υπολογιστής-οχυρό απαιτείται να παρέχει μεγάλη ασφάλεια διότι αποτελεί το κύριο σημείο επικοινωνίας για τους χρήστες του εσωτερικού δικτύου. Επιπλέον επειδή ο υπολογιστής-οχυρό εκτίθεται σε άμεσες επιθέσεις από το διαδίκτυο θα πρέπει να είναι ρυθμισμένος με τέτοιο τρόπο ώστε να είναι ιδιαίτερα ασφαλής. Συνήθως το λειτουργικό σύστημα του bastion host είναι της κατηγορίας Unix που έχει τροποποιηθεί, αφαιρώντας συγκεκριμένες εντολές και υπηρεσίες, ώστε να ελαττωθούν οι δυνατότητες του στις ελάχιστες απαραίτητες για την υποστήριξη των υπηρεσιών που επιτρέπονται. Έτσι μειώνεται η πιθανότητα ύπαρξης τυχόν «οπών ασφαλείας» και συνεπώς ενισχύεται η ασφάλεια του bastion host.[26] Πληρεξούσιοι Εξυπηρετητές (Proxy Servers) Μια πύλη επιπέδου εφαρμογής που τρέχει σε ένα υπολογιστή-οχυρό συνήθως στεγάζει διάφορους proxy servers. Οι proxy servers χρησιμοποιούνται προκειμένου να έχουμε πρόσβαση στα δεδομένα με ασφαλή τρόπο. Αν ένας χρήστης του ενδοεπιχειρησιακού δικτύου θέλει να έχει πρόσβαση σε ένα συγκεκριμένο εξυπηρετητή εφαρμογής TCP/IP στο διαδίκτυο, πρέπει η εφαρμογή του εξυπηρετούμενου να εγκαταστήσει μια σύνδεση με τον proxy server που τρέχει για αυτή τη συγκεκριμένη εφαρμογή στον υπολογιστή-οχυρό. Ο proxy server με τη σειρά του πρέπει 66

68 να πιστοποιήσει την αυθεντικότητα του χρήστη και να τον εξουσιοδοτήσει για πρόσβαση. Μπορούν να χρησιμοποιηθούν διάφορα σχήματα πιστοποίησης αυθεντικότητας και εξουσιοδότησης. Το απλούστερο σχήμα είναι ο proxy server να κρατά μια λίστα με διευθύνσεις IP που επιτρέπεται να συνδεθούν σε εξωτερικούς εξυπηρετητές εφαρμογών. Αυτό το σχήμα δεν είναι πολύ ασφαλές, αφού οποιοσδήποτε μπορεί να προσποιηθεί ότι έχει εξουσιοδοτημένη διεύθυνση IP. Ένα πιο ασφαλές σχήμα είναι η χρήση ισχυρών μηχανισμών πιστοποίησης αυθεντικότητας μεταξύ του χρήστη και του proxy server. Μετά την επιτυχή πιστοποίηση αυθεντικότητας και εξουσιοδότηση του χρήστη, ο proxy server εγκαθιστά μια δεύτερη σύνδεση TCP/IP με τον εξυπηρετητή της εφαρμογής που ζητήθηκε. Ο εξυπηρετητής της εφαρμογής μπορεί να θέλει και αυτός με τη σειρά του να πιστοποιήσει την αυθεντικότητα του χρήστη. Αν και εδώ πιστοποιηθεί επιτυχώς η αυθεντικότητα του χρήστη και εξουσιοδοτηθεί, ο εξυπηρετητής της εφαρμογής αρχίζει να εξυπηρετεί την αίτηση. Από τη στιγμή αυτή και μετά ο proxy server απλά μετάγει δεδομένα εφαρμογής μεταξύ των δύο συνδέσεων. Για κάθε πακέτο που ρέει από τον εσωτερικό εξυπηρετούμενο στον εξωτερικό εξυπηρετητή, ο proxy server συνήθως αντικαθιστά τη διεύθυνση IP του αποστολέα με τη δική του διεύθυνση. Έτσι οι εσωτερικές διευθύνσεις IP που χρησιμοποιούνται στο ενδοεπιχειρησιακό δίκτυο είναι ολοκληρωτικά κρυμμένες και δεν εκτίθενται στο διαδίκτυο Πλεονεκτήματα και Μειονεκτήματα Πυλών Εφαρμογών (και Proxy Servers). Υπάρχουν αρκετά πλεονεκτήματα σχετικά με τη χρήση πυλών επιπέδου εφαρμογής γενικότερα και proxy servers ειδικότερα, μερικά από τα οποία είναι τα εξής: Παρέχουν μεγαλύτερη ασφάλεια: Τα firewalls αυτού του τύπου έχουν τη δυνατότητα προσθήκης μιας λίστας ελέγχου προσπέλασης για τις διάφορες υπηρεσίες, απαιτώντας από τους χρήστες και τα συστήματα κάποια μορφή πιστοποίησης προτού τους επιτραπεί πρόσβαση σε κάποια από τις υπηρεσίες. Επιπλέον τα συστήματα αυτού του τύπου παρέχουν μεγαλύτερη ασφάλεια αφού «τρέχουν» μειωμένο σετ εφαρμογών και ένα ασφαλές λειτουργικό σύστημα. Η προσπέλαση στα εσωτερικά συστήματα γίνεται μόνο από τον proxy server εμποδίζοντας έτσι την απευθείας σύνδεση. Υπάρχουν κάποιοι «έξυπνοι» proxy servers που λέγονται Application Layer Gateways (ALGs), οι οποίοι μπορούν να μπλοκάρουν συγκεκριμένα τμήματα ενός πρωτοκόλλου. Για παράδειγμα ένας (ALGs) για FTP μπορεί να διαχωρίζει την εντολή put από την εντολή get. Έτσι ένας οργανισμός μπορεί να επιτρέπει στους χρήστες του να «κατεβάζουν» αρχεία αλλά να μην αφήνει τους έξω να παίρνουν τα αρχεία των δικών του συστημάτων. Παρέχουν καλύτερη καταγραφή συμβάντων: Ένα βασικό χαρακτηριστικό των firewalls αυτής της κατηγορίας είναι ο on-line έλεγχος, ο οποίος επιτρέπει την παρακολούθηση της δραστηριότητας και την καταγραφή συγκεκριμένων γεγονότων. Τα firewalls επιπέδου εφαρμογής έχουν ορισμένα μειονεκτήματα: Ένα firewall επιπέδου εφαρμογής απαιτεί ένα ξεχωριστό proxy server για κάθε υπηρεσία δικτύου: Οι πύλες επιπέδου εφαρμογής επιτρέπουν μόνο εκείνα τα πρωτόκολλα και υπηρεσίες TCP/IP για τα οποία υπάρχει proxy server. Για παράδειγμα αν ένα firewall φιλοξενεί proxy servers για Telnet και FTP, τότε μόνο η κυκλοφορία Telnet και FTP επιτρέπεται, ενώ όλες οι άλλες υπηρεσίες παρεμποδίζονται. Εάν απαιτείται η υποστήριξη 67

69 κάποιας άλλης υπηρεσίας από το firewall, είναι αναγκαίο να προστεθεί ένας νέος proxy server. Συνεπώς αν παρουσιαστεί μια νέα υπηρεσία στο Internet και το firewall δεν έχει τον αντίστοιχο proxy server, οι χρήστες του δικτύου δεν θα έχουν τη δυνατότητα πρόσβασης σε αυτή την υπηρεσία. Δεν είναι πάντοτε διαφανή προς το χρήστη. Είναι δυσκολότερα στην υλοποίηση. Η ταχύτητα και η απόδοση των firewalls επιπέδου εφαρμογής δεν είναι τόσο ικανοποιητική όσο των firewalls επιπέδου δικτύου. [29] Υβριδικά Συστήματα Ασφάλειας. Συνήθως η κατασκευή ενός firewall δε στηρίζεται μόνο σε μια από τις αρχιτεκτονικές που αναφέρθηκαν πιο πάνω. Για την κατασκευή ενός firewall συνδυάζονται τα firewalls επιπέδου δικτύου (φίλτρα πακέτων, δρομολογητές διαλογής) και τα firewalls επιπέδου εφαρμογής (πύλες εφαρμογών, proxy servers). Τα συνδυασμένα firewalls που προκύπτουν ονομάζονται υβριδικά συστήματα ασφάλειας και οδηγούν στην επίλυση συνδυασμένων προβλημάτων. Τα προς επίλυση προβλήματα εξαρτώνται από τις υπηρεσίες τις οποίες θέλει να προσφέρει ένας οργανισμός στους χρήστες, καθώς και από το επίπεδο του κινδύνου που είναι διατεθειμένος να δεχτεί. Σε ένα υβριδικό σύστημα ασφάλειας, τα λαμβανόμενα πακέτα υπόκεινται πρώτα στον έλεγχο τον οποίο διενεργεί το firewall επιπέδου δικτύου. Ακολούθως τα πακέτα είτε απορρίπτονται, είτε διέρχονται και κατευθύνονται προς τον προορισμό τους, είτε προωθούνται σε κάποιο proxy server για περαιτέρω επεξεργασία. Όταν το εσωτερικό δίκτυο ενός οργανισμού απαιτεί την ασφάλεια την οποία παρέχει ένα firewall επιπέδου εφαρμογής για ορισμένες υπηρεσίες και την ταχύτητα και ευελιξία ενός firewall επιπέδου δικτύου για ορισμένες άλλες υπηρεσίες, τότε βέλτιστη λύση αποτελεί ένα υβριδικό σύστημα ασφάλειας. Ένα υβριδικό σύστημα ασφάλειας είναι σαφώς ακριβότερο, καθώς παρέχει μεγαλύτερη λειτουργικότητα και περισσότερα χαρακτηριστικά από ένα απλό firewall επιπέδου δικτύου. Τα εξής υβριδικά συστήματα ασφάλειας εφαρμόζονται σήμερα ευρέως στο διαδίκτυο: Διπλοσυνδεδεμένα Φράγματα Ασφάλειας (Dual-Homed Firewalls), Φράγματα Ασφάλειας Υπολογιστή Διαλογής (Screened Host Firewalls), και Φράγματα Ασφάλειας Υποδικτύου Διαλογής (Screened Subnet Firewalls) Διπλοσυνδεδεμένα Φράγματα Ασφαλείας. Τα διπλοσυνδεδεμένα firewalls αποτελούν καλύτερη εναλλακτική λύση σε σχέση με τα firewalls επιπέδου δικτύου, καθώς η πρόσβαση στο προστατευόμενο δίκτυο μπορεί να γίνει μόνο μέσω των proxy servers που τρέχουν στον υπολογιστή-οχυρό. Τα διπλοσυνδεδεμένα firewalls συνδυάζουν τόσο τα firewalls επιπέδου δικτύου, όσο και τα firewalls επιπέδου εφαρμογής, όπως κάθε υβριδικό σύστημα. Ένα διπλοσυνδεδεμένο firewall αποτελείται από ένα υπολογιστή-οχυρό που είναι συνδεδεμένος και με τα δύο δίκτυα (ιδιωτικό δίκτυο και διαδίκτυο) και έχει απενεργοποιημένες τις δυνατότητες για προώθηση και δρομολόγηση IP. Αυτό σημαίνει ότι τα πακέτα IP από το ένα 68

70 δίκτυο, το Internet, δε μπορούν να δρομολογηθούν άμεσα προς το εσωτερικό προστατευόμενο δίκτυο. Η IP κίνηση είναι πλήρως ελεγχόμενη, αφού τα συστήματα του εσωτερικού δικτύου και τα συστήματα του διαδικτύου δεν επιτρέπεται να επικοινωνήσουν άμεσα μεταξύ τους. Επιπλέον τοποθετείται και ένας δρομολογητής διαλογής μεταξύ του υπολογιστή-οχυρό και του διαδικτύου. Σκοπός του είναι να διασφαλίσει ότι κάθε πακέτο IP που φθάνει από το διαδίκτυο απευθύνεται με σωστό τρόπο στον υπολογιστή-οχυρό. Αν κάποιο πακέτο φθάνει με κάποια άλλη IP διεύθυνση προορισμού πρέπει να απορριφθεί. Στο Σχήμα 4.3 φαίνεται η βασική δομή ενός διπλοσυνδεδεμένου firewall. Σχήμα 4.3: Ένα διπλοσυνδεδεμένο firewall. Για λόγους απόδοσης μπορούν να χρησιμοποιηθούν περισσότεροι του ενός υπολογιστέςοχυρά, όπου όλοι θα είναι συνδεδεμένοι και στο εσωτερικό και στο εξωτερικό δικτυακό τμήμα. Το διπλοσυνδεδεμένο firewall είναι ένας απλός αλλά ασφαλής σχηματισμός. Η πρόσβαση στο ενδοεπιχειρησιακό δίκτυο μπορεί να περάσει μόνο από proxy servers που τρέχουν στον υπολογιστή-οχυρό. Έτσι καμιά υπηρεσία δεν περνά εκτός από αυτές για τις οποίες υπάρχουν proxy servers. Με τον τρόπο αυτό υλοποιείται η πολιτική σχεδιασμού όπου κάθε υπηρεσία απαγορεύεται εκτός και αν αυτή ρητά επιτρέπεται. Το διπλοσυνδεδεμένο firewall έχει το μικρότερο κόστος από τις τρεις υβριδικές αρχιτεκτονικές που εξετάζονται, αλλά παρουσιάζει ένα σοβαρότατο μειονέκτημα: Αποτελεί μοναδικό σημείο δυνητικής αποτυχίας στο δίκτυο, συνεπώς αν ένας κακόβουλος επιτιθέμενος εισβάλει σε αυτό, τότε όλο το δίκτυο εκτίθεται σε κίνδυνο. Επιπλέον υπάρχουν και κάποια πρακτικά προβλήματα στη χρήση αυτού του μηχανισμού που σχετίζονται με το ότι δεν υπάρχουν proxy servers για ιδιόκτητα εταιρικά TCP/IP πρωτόκολλα εφαρμογής, όπως τα Lotus Notes, SQLnet και SAP Φράγματα Ασφάλειας Υπολογιστή Διαλογής. Ένα firewall υπολογιστή διαλογής παρέχει υπηρεσίες μέσω ενός υπολογιστή που είναι προσαρτημένος μόνο στο εσωτερικό δίκτυο. Στο σχηματισμό αυτό υπάρχει και ένας δρομολογητής διαλογής που συνδέει το εσωτερικό δίκτυο με το διαδίκτυο και πρέπει να είναι ρυθμισμένος έτσι ώστε να στέλνει όλη την κυκλοφορία IP που προέρχεται από το διαδίκτυο στην πύλη εφαρμογών που τρέχει στον υπολογιστή-οχυρό. Πριν όμως προωθήσει την κυκλοφορία IP σε αυτόν τον υπολογιστή, ο δρομολογητής διαλογής πρέπει να εφαρμόσει τους κανόνες φίλτρου πακέτων του. Μόνο η πληροφορία που είναι συμβατή με τους κανόνες διοχετεύεται στον υπολογιστή-οχυρό, ενώ όλη η άλλη πληροφορία απορρίπτεται. Συνεπώς οι πίνακες δρομολόγησης του δρομολογητή διαλογής πρέπει να προστατεύονται ισχυρά από εισβολή, διότι αν μια 69

71 καταχώρηση στον πίνακα αλλάξει έτσι ώστε η κυκλοφορία να μην προωθείται στον υπολογιστήοχυρό αλλά να στέλνεται απευθείας στο εσωτερικό δίκτυο, το firewall «αστοχεί». Στο Σχήμα 4.4 παρουσιάζεται ο σχηματισμός ενός firewall υπολογιστή διαλογής. Σχήμα 4.4: Ένας σχηματισμός firewall υπολογιστή διαλογής. Ο μηχανισμός firewall υπολογιστή διαλογής είναι πιο ευέλικτος. Επιτρέπει στο δρομολογητή διαλογής να «περνάει» ορισμένες αξιόπιστες υπηρεσίες κατευθείαν στο εσωτερικό δίκτυο. Οπότε έχει τη δυνατότητα να επιτρέπει και στις υπηρεσίες για τις οποίες δεν υπάρχουν proxy servers, να περνάνε στο εσωτερικό δίκτυο, κάτι το οποίο δεν μπορούσε να πραγματοποιήσει αρχιτεκτονική διπλοσυνδεδεμένων firewalls. Επειδή η αρχιτεκτονική αυτή επιτρέπει και τη μεταφορά πακέτων από το Internet κατευθείαν στο εσωτερικό δίκτυο, ίσως φαίνεται πιο επικίνδυνη από την αρχιτεκτονική διπλοσυνδεδεμένων firewalls, η οποία δεν επιτρέπει σε κανένα πακέτο να περάσει απευθείας από το Internet στο εσωτερικό δίκτυο. Πρακτικά όμως η αρχιτεκτονική διπλοσυνδεδεμένων firewalls είναι επιρρεπής σε ενδεχόμενες αποτυχίες οι οποίες θα έχουν ως αποτέλεσμα τη μεταφορά πακέτων από το εξωτερικό προς το εσωτερικό δίκτυο. Από την άλλη πλευρά είναι ευκολότερο να αμυνθεί κανείς με τη χρήση ενός δρομολογητή ο οποίος παρέχει ένα περιορισμένο σύνολο υπηρεσιών, παρά με τη χρήση ενός υπολογιστή. Στις περισσότερες περιπτώσεις πάντως, η αρχιτεκτονική υπολογιστή διαλογής παρέχει μεγαλύτερη ασφάλεια και χρησιμότητα. Η αρχιτεκτονική αυτή παρουσιάζει ένα σοβαρότατο μειονέκτημα: Βασίζεται σε δύο ξεχωριστές συσκευές ασφάλειας, το δρομολογητή διαλογής και τον υπολογιστή-οχυρό. Εάν κάποια από τις δύο αυτές συσκευές αποτύχει, τότε το δίκτυο εκτίθεται σε κίνδυνο. Αν για παράδειγμα ένας εισβολέας καταφέρει να παραβιάσει τον υπολογιστή-οχυρό, τότε θα έχει ελεύθερη πρόσβαση στο εσωτερικό δίκτυο. Ομοίως αν ο δρομολογητής εκτεθεί σε κίνδυνο, όλο το δίκτυο είναι πλέον ανασφαλές. Για αυτούς τους λόγους η πιο διαδεδομένη αρχιτεκτονική είναι η επόμενη Φράγματα Ασφάλειας Υποδικτύου Διαλογής. Ένα firewall υποδικτύου διαλογής αποτελείται από δύο δρομολογητές διαλογής με τον υπολογιστή-οχυρό να βρίσκεται ενδιάμεσα. Έτσι δημιουργείτε ένα εσωτερικό (περιμετρικό) υποδίκτυο διαλογής, ανάμεσα στο εσωτερικό και εξωτερικό δίκτυο. Στο Σχήμα 4.5 απεικονίζεται ο σχηματισμός firewall υποδικτύου διαλογής. Αυτή η αρχιτεκτονική εισάγει ένα επιπλέον επίπεδο ασφάλειας σε σχέση με την αρχιτεκτονική υπολογιστή διαλογής, προσθέτοντας το περιμετρικό υποδίκτυο το οποίο απομονώνει περισσότερο το εσωτερικό δίκτυο από το Internet. Αυτό το περιμετρικό υποδίκτυο 70

72 αναφέρεται και ως «αποστρατιωτικοποιημένη ζώνη» (DMZ-demilitarized zone). Είναι δυνατό να υπάρχουν περισσότεροι του ενός υπολογιστές-οχυρά στο απομονωμένο αυτό δίκτυο για λόγους απόδοσης. Σχήμα 4.5: Ένας σχηματισμός firewall υποδικτύου διαλογής. Ο λόγος για τον οποίο προστίθεται ένα επιπλέον δίκτυο είναι ότι οι υπολογιστές-οχυρά αποτελούν τις πλέον ευπαθείς συσκευές του δικτύου, καθώς είναι τα συστήματα τα οποία κατεξοχήν μπορούν να δεχτούν επιθέσεις. Στην αρχιτεκτονική υπολογιστή διαλογής, ανάμεσα στον υπολογιστή-οχυρό και στο εσωτερικό δίκτυο δεν υπάρχει κανένας άλλος μηχανισμός άμυνας. Παραβιάζοντας κάποιος τον υπολογιστή-οχυρό μπορεί να έχει πλήρη πρόσβαση στο εσωτερικό δίκτυο. Η αρχιτεκτονική υποδικτύου διαλογής προσφέρει περισσότερη ασφάλεια, απομονώνοντας τον υπολογιστή-οχυρό στο περιμετρικό υποδίκτυο. Έτσι ακόμη και αν κάποιος εισβολέας αποκτήσει κάποια πρόσβαση στον υπολογιστή-οχυρό, θα έχει να αντιμετωπίσει ακόμη ένα δρομολογητή για μπορέσει να εισβάλει στο εσωτερικό δίκτυο. Όπως έχει αναφερθεί, στο περιμετρικό υποδίκτυο περιλαμβάνονται δύο δρομολογητές διαλογής. Ο εσωτερικός δρομολογητής βρίσκεται μεταξύ του εσωτερικού δικτύου και του περιμετρικού υποδικτύου, ενώ ο εξωτερικός δρομολογητής βρίσκεται μεταξύ του περιμετρικού υποδικτύου και του εξωτερικού δικτύου, συνήθως του Internet. Ο εσωτερικός δρομολογητής προστατεύει το εσωτερικό δίκτυο, τόσο από το Internet, όσο και από το περιμετρικό υποδίκτυο. Ο δρομολογητής αυτός αναλαμβάνει το μεγαλύτερο βάρος υλοποίησης του μηχανισμού φιλτραρίσματος πακέτων του firewall. Έτσι επιτρέπει να περάσουν μόνο επιλεγμένες υπηρεσίες από το εσωτερικό δίκτυο προς το Internet. Τέτοιες υπηρεσίες αφορούν εξερχόμενες συνόδους Telnet, FTP, WAIS, Copher και άλλες συνόδους. Ο εξωτερικός δρομολογητής προστατεύει τόσο το περιμετρικό υποδίκτυο όσο και το εσωτερικό δίκτυο από το Internet. Ο εξωτερικός δρομολογητής τείνει να επιτρέπει οτιδήποτε κατευθύνεται από το περιμετρικό υποδίκτυο προς τον εξωτερικό κόσμο. Σε γενικές γραμμές είναι απαραίτητο οι κανόνες οι οποίοι τίθενται για την προστασία των εσωτερικών μηχανών να συμφωνούν τόσο στον εσωτερικό όσο και στον εξωτερικό δρομολογητή. Οι μοναδικοί κανόνες φιλτραρίσματος πακέτων που εφαρμόζονται αποκλειστικά σε έναν εξωτερικό δρομολογητή, είναι αυτοί οι οποίοι προστατεύουν τον υπολογιστή-οχυρό και το εσωτερικό δίκτυο από το Internet. Με αυτή την αρχιτεκτονική υποδικτύου διαλογής, το ιδιωτικό δίκτυο προστατεύεται ακόμη περισσότερο, αφού ένας επιτιθέμενος θα πρέπει να υπονομεύσει, όχι μόνο τον υπολογιστή-οχυρό αλλά και τους δρομολογητές για να φτάσει στο εσωτερικό δίκτυο. Έτσι δεν υπάρχει πλέον ένα και μοναδικό σημείο ευπάθειας το οποίο να θέτει σε κίνδυνο όλο το εσωτερικό δίκτυο. 71

73 4.1.6 Εγκατάσταση Firewall. Η εγκατάσταση ενός firewall περιλαμβάνει μια σειρά διαδοχικά εκτελούμενων φάσεων. Αυτές είναι: Σχεδιασμός Πολιτικής. Ο σχεδιασμός ενός firewall προϋποθέτει τον ακριβή προσδιορισμό των ορίων των διακριτών περιοχών ασφάλειας του δικτύου, καθεμιά από τις οποίες λειτουργεί με βάση συγκεκριμένη πολιτική ασφάλειας. Στη συνέχεια επιλέγονται: Η βασική αρχιτεκτονική (αριθμός υπολογιστών, μέθοδοι συνδέσεων, λειτουργίες που εκτελούνται). Οι λειτουργίες που θα υλοποιηθούν (επίπεδο δικτύου, επίπεδο εφαρμογής, υβριδικός συνδυασμός). Το αρχιτεκτονικό σχέδιο του firewall (διπλοσυνδεδεμένο, με υπολογιστή διαλογής, με υποδίκτυο διαλογής). Απόκτηση υλικού και λογισμικού για firewalls. Στη φάση αυτή εξασφαλίζεται η ύπαρξη του κατάλληλου εξοπλισμού (υλικό και λογισμικό), για να είναι δυνατή η εγκατάσταση, ο δοκιμαστικός έλεγχος, η λειτουργία και η επίβλεψη του firewall. Συγκεκριμένα εκτελείται: Προσδιορισμός των απαραίτητων τμημάτων υλικού (υπολογιστές, δρομολογητές, επεξεργαστές, μνήμη, δίσκος, κάρτες, καλώδια κλπ). Προσδιορισμός των απαραίτητων τμημάτων λογισμικού (λειτουργικά συστήματα, patches, device drivers, λογισμικό firewall, λογισμικό παρακολούθησης δικτύου). Απόκτηση τεκμηρίωσης, εκπαίδευσης και υποστήριξης. Ανάλογα με τον επιλεγέντα αρχιτεκτονικό σχεδιασμό, πιθανότατα απαιτείται επιπρόσθετη εκπαίδευση και υποστήριξη από την προμηθεύτρια εταιρεία. Εάν ο οργανισμός δε διαθέτει εμπειρία στις τεχνολογίες που πρόκειται να υλοποιήσει, υπάρχει σοβαρό ενδεχόμενο να οδηγηθεί σε σφάλματα που θα μπορούσαν να προκαλέσουν καθυστέρηση στην εγκατάσταση, στη ρύθμιση και στη λειτουργία του firewall. Επιπλέον η συντήρηση του υλικού και του λογισμικού μπορεί να είναι τόσο περίπλοκη ώστε να απαιτείται εκπαίδευση και συνεχής υποστήριξη. Όλα αυτά πρέπει να μελετηθούν λεπτομερώς στη φάση αυτή. Εγκατάσταση υλικού και λογισμικού. Στη φάση αυτή εγκαθίσταται και ρυθμίζεται το λειτουργικό σύστημα που θα υποστηρίξει το λογισμικό του firewall. Το λειτουργικό σύστημα περιλαμβάνει μόνο τις υπηρεσίες που είναι απαραίτητες για τη λειτουργία του firewall, ενώ όλες οι υπόλοιπες υπηρεσίες πρέπει να είναι απενεργοποιημένες. Στη συνέχεια το λογισμικό του firewall εγκαθίσταται στο επιλεγμένο υλικό για δοκιμαστικό έλεγχο. 72

74 Ρύθμιση της δρομολόγησης. Όταν ένα πακέτο φτάνει σε ένα δρομολογητή, ο δρομολογητής πρέπει να αποφασίσει για τη διάθεση του. Στόχοι του μηχανισμού δρομολόγησης είναι η απόδοση και η αξιοπιστία, όχι η υλοποίηση πολιτικής ασφάλειας. Ρύθμιση των κανόνων φιλτραρίσματος πακέτων. Ο μηχανισμός φιλτραρίσματος ελέγχει το περιεχόμενο το&upsilo