ΑΞΙΟΛΟΓΗΣΗ ΕΥΠΑΘΕΙΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΛΛΗΝΙΚΩΝ ΦΟΡΕΩΝ ΚΑΙ ΕΠΙΧΕΙΡΗΣΕΩΝ

Transcript

1 ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ & ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΑΞΙΟΛΟΓΗΣΗ ΕΥΠΑΘΕΙΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΛΛΗΝΙΚΩΝ ΦΟΡΕΩΝ ΚΑΙ ΕΠΙΧΕΙΡΗΣΕΩΝ Η Διπλωματική Εργασία παρουσιάστηκε ενώπιον του Διδακτικού προσωπικού του Πανεπιστημίου Αιγαίου Σε Μερική Εκπλήρωση Των απαιτήσεων για το Μεταπτυχιακό Δίπλωμα Ειδίκευσης στις «Τεχνολογίες και Διοίκηση Πληροφοριακών και Επικοινωνιακών Συστημάτων» Καράμπελας Λουκάς 323Μ/ Καρλόβασι, Σάμος 04/02/2013

2 ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΟΥ: ΚΑΡΑΜΠΕΛΑ ΛΟΥΚΑ Κοκολάκης Σπύρος, Επιβλέπων Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Γεώργιος Καμπουράκης Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Μαρία Καρύδα, Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ ΦΕΒΡΟΥΑΡΙΟΣ

3 Περίληψη Στην παρούσα διπλωματική εργασία, παρουσιάζονται και αναλύονται τα αποτελέσματα που προέκυψαν από έρευνα που πραγματοποιήθηκε για το Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου. Η έρευνα είχε ως στόχο τον προσδιορισμό των πιο κοινών ευπαθειών ασφάλειας που συναντώνται σε ιστοχώρους (web servers) δημοσίων φορέων και ιδιωτικών επιχειρήσεων που διατηρούν τη φυσική τους παρουσία στον ελληνικό χώρο, σε μία προσπάθεια αναβάθμισης της ασφάλειάς τους. Για την μελέτη των συστημάτων χρησιμοποιήθηκε το εργαλείο αξιολόγησης ευπαθειών HIAB 1 της εταιρείας Outpost24 2. Κατά τη διάρκεια της μελέτης αναλύθηκαν 35 Πληροφοριακά Συστήματα 25 ελληνικών φορέων και επιχειρήσεων που εκτίθενται απευθείας στο διαδίκτυο. Πιο αναλυτικά, ελέγχθηκαν 16 συστήματα 11 δημόσιων φορέων και 19 συστήματα 14 ιδιωτικών επιχειρήσεων. Από την έρευνα προκύπτει ότι το επίπεδο της ασφάλειας είναι χαμηλό και στις δύο περιπτώσεις. Ωστόσο, ο δημόσιος τομέας φαίνεται να είναι λιγότερο εκτεθειμένος όσον αφορά τις απ ευθείας εξωτερικές επιθέσεις. Συγκεκριμένα, στο σύνολο εντοπίστηκαν 2180 ευπάθειες εκ των οποίων οι 581 ήταν ευπάθειες Υψηλού Κινδύνου. Όλοι οι συμμετέχοντες έλαβαν μέρος στην έρευνα οικειοθελώς και στη συνέχεια ενημερώθηκαν για τις αδυναμίες που εντοπίστηκαν στα συστήματα τους. Πρόθεση της έρευνας είναι τα αποτελέσματά της να λειτουργήσουν ως κίνητρο προκειμένου οι διαδικασίες Αξιολόγησης και Διαχείρισης Ευπαθειών να ενταχθούν σε μόνιμο και σταθερό πρόγραμμα από τους διαχειριστές των Πληροφοριακών Συστημάτων

4 Abstract The current MSc Thesis presents the results of a study that was conducted for the Laboratory of Information & Communication Systems Security at the University of the Aegean. The study was conducted to identify the most common software security vulnerabilities that are detected in web servers of companies (private sector) as well as institutions and organizations of the public sector that have a physical presence in Greece, in an effort to help them improve their IT security. The study used the vulnerability scanning tool HIAB, provided by Outpost24. During the study there have been analyzed 35 hosts run by 25 different institutions and companies that are exposed to the public internet. More specifically, there have been scanned 16 hosts run by 11 institutions of the public sector and 19 hosts run by 14 private companies. The study shows that both in the public and the private sector, the security level is low. However, the public sector seems less exposed regarding the direct external attacks. Furthermore, the vulnerability analysis revealed a total of 2180 weaknesses, while a number of 581 weaknesses were classified as of high risk. All participants had given their consent for the conducted vulnerability scans and were afterwards informed about the identified weaknesses in their systems. This study intends through its results to act as an incentive for the IT administrators to perform the Vulnerability Assessment and Vulnerability Management processes on a permanent and frequent basis. 4

5 Ευχαριστίες Σε αυτό το σημείο οφείλω να ευχαριστήσω τους ανθρώπους που με στήριξαν και με βοήθησαν κατά την εκπόνηση αυτής της διπλωματικής εργασίας. Ξεκινώντας με τον επιβλέποντα καθηγητή μου κ. Σπύρο Κοκολάκη, τον ευχαριστώ ιδιαίτερα για την άμεση καθοδήγησή του και για την άψογη συνεργασία που είχαμε καθ όλη τη διάρκεια διεξαγωγής της έρευνας. Στη συνέχεια θα ήθελα να ευχαριστήσω τους γονείς, τον αδερφό, τους συγγενείς και τους φίλους μου και όλο τον κόσμο που ενδιαφέρθηκε και προσπάθησε προκειμένου ο αριθμός των εθελοντών προς συμμετοχή στην έρευνα να είναι όσο το δυνατόν μεγαλύτερος ώστε τα αποτελέσματα που θα εξαχθούν να απεικονίζουν καλύτερα την πραγματικότητα. Οι άνθρωποι αυτοί συνετέλεσαν στην εύρεση του μεγαλύτερου μέρους των συμμετεχόντων επομένως σε αυτούς οφείλεται και το μεγαλύτερο μέρος της επιτυχίας της έρευνας. Επίσης τους τεχνικούς των εταιρειών και των φορέων για το ενδιαφέρον και την εξαιρετική συνεργασία που είχαμε αποκομίζοντας γνώσεις και εμπειρίες από κοινού. Τέλος θα ήθελα να ευχαριστήσω την φίλη μου, αρχιτέκτονα και σκηνογράφο Μάρω Τσάγκα για τον σχεδιασμό των εικόνων του εξωφύλλου μου. 5

6 Περιεχόμενα Περιεχόμενα Εισαγωγή Σκοπός και Στόχοι Πηγές και Όρια Δομή διπλωματικής Η έρευνα Ευπάθειες και Αξιολόγηση & Διαχείρηση Ευπαθειών Είδη ευπαθειών και διεθνή Πρότυπα Το εργαλείο της έρευνας Η μεθοδολογία της έρευνας Συνοπτικά Αποτελέσματα Στοιχεία των ελεγχθέντων συστημάτων Συγκεντρωτικά Στατιστικά Αποτελέσματα Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Βαθμού Επικινδυνότητας CVSS Αναλυτικά Στατιστικά Αποτελέσματα Αναλυτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας Αναλυτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών Αναλυτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης Αναλυτικά στατιστικά αποτελέσματα βάσει του Βαθμού Επικινδυνότητας CVSS Ανάλυση αποτελεσμάτων Συμπεράσματα και Περαιτέρω Έρευνα Σύνοψη και συμπεράσματα Αξιοποίηση της έρευνας Βιβλιογραφία

7 1. Εισαγωγή 1.1. Σκοπός και Στόχοι Η παρούσα διπλωματική εργασία είχε δύο βασικούς στόχους. Κατ αρχάς, μέσω ενός δείγματος εθελοντών που διατηρούν Πληροφοριακά Συστήματα με φυσική παρουσία στον ελληνικό χώρο, ήταν ο προσδιορισμός των πιο συνηθισμένων ευπαθειών που απειλούν τα σύγχρονα αυτά συστήματα και παράλληλα η άμεση αναβάθμιση της ασφάλειάς τους. Οι συμμετέχοντες, μετά τον εντοπισμό των ευπαθειών που απειλούσαν τα συστήματά τους, είχαν πλέον τη δυνατότητα να τις επιδιορθώσουν άμεσα και παράλληλα να υπολογίσουν την έκθεσή τους στον κίνδυνο που επικρατούσε όλο το χρονικό διάστημα από την δημοσιοποίηση της εκάστοτε ευπάθειας μέχρι την επιδιόρθωσή της. Σκοπός ήταν η δημιουργία μιας κουλτούρας, σε επιχειρήσεις αλλά και σε δημόσιους φορείς, συστηματικής εφαρμογής των διαδικασιών Αξιολόγησης και Διαχείρισης Ευπαθειών, ώστε να μεγιστοποιηθεί η ασφάλεια των συστημάτων και να περιοριστούν οι πιθανές μελλοντικές αποτελεσματικές επιθέσεις που οφείλονται στην εκμετάλλευση των ευπαθειών. Η προσπάθεια αυτή έγινε με την ενημέρωση των διαχειριστών των συστημάτων που συμμετείχαν στην έρευνα, τόσο για τον κίνδυνο των ευπαθειών όσο και για τις παραπάνω διαδικασίες (Αξιολόγησης και Διαχείρισης Ευπαθειών) Πηγές και Όρια Κύρια πηγή αποτέλεσε μία αντίστοιχη έρευνα, η A study of Network Perimeter Security 3 που πραγματοποιήθηκε τον Μάιο του 2010 από το Τμήμα Έρευνας Λογισμικών Επιχειρήσεων (Software Business Research Unit) του Πανεπιστημίου Τεχνολογίας του Helsinki (σημερινό Πανεπιστήμιο Aalto 4 ) όπου εντοπίστηκαν 532 αδυναμίες σε 42 συστήματα από 32 εταιρείες. Τα όρια καθορίστηκαν σε γενικές γραμμές από την παραπάνω μελέτη. Ειδικότερα: Προϋποθέσεις συμμετοχής ήταν τα συστήματα που πρόκειται να ελεγχθούν να διατηρούν τη φυσική τους παρουσία στον ελληνικό χώρο, να συνδέονται άμεσα με το διαδίκτυο και η διαχείρισή τους να γίνεται από τους ίδιους τους συμμετέχοντες. Οι συμμετέχοντες έλαβαν μέρος στην έρευνα οικειοθελώς και μόνο κατόπιν συνεννόησης. Για τον εντοπισμό των τρωτών σημείων χρησιμοποιήθηκε το εργαλείο HIAB της Outpost24. Τηρήθηκε η ανωνυμία των συμμετεχόντων με μοναδικούς παραλήπτες των αποτελεσμάτων πρόσωπα που μας υπέδειξαν οι αρμόδιοι

8 Όσον αφορά τους συμμετέχοντες, σε αντίθεση με την παραπάνω έρευνα που διεξήχθη μόνο σε επιχειρήσεις, η παρούσα έρευνα πραγματοποιήθηκε επιπλέον σε δήμους και κέντρα διαχείρισης δικτύων εκπαιδευτικών ιδρυμάτων Δομή διπλωματικής Μετά την εισαγωγή, στο δεύτερο κεφάλαιο περιγράφονται βασικές έννοιες, το εργαλείο που χρησιμοποιήθηκε για την διεξαγωγή της έρευνας, η μεθοδολογία της έρευνας, συνοπτικά τα αποτελέσματά που προέκυψαν και τέλος αναφέρονται τα στοιχεία των συστημάτων που ελέγχτηκαν. Στο τρίτο κεφάλαιο παρουσιάζονται τα συγκεντρωτικά στατιστικά αποτελέσματα της έρευνας. Συγκεκριμένα, συγκεντρώθηκαν όλα τα αποτελέσματα και ταξινομήθηκαν βάσει του επιπέδου επικινδυνότητας, της οικογένειας ευπαθειών, της πόρτας εμφάνισής τους και τέλος του βαθμού CVSS. Στο τέταρτο κεφάλαιο παραθέτονται αναλυτικά τα αποτελέσματα ταξινομημένα βάσει του επιπέδου επικινδυνότητας, της οικογένειας ευπαθειών, της πόρτας εμφάνισής τους και του βαθμού CVSS για όλες τις ανιχνεύσεις μία προς μία. Επίσης αναφέρεται η συχνότητα εφαρμογής της διαδικασίας του Vulnerability Assessment στο παρελθόν για κάθε σύστημα που μελετήθηκε. Στο πέμπτο κεφάλαιο αναλύονται τα αποτελέσματα βάσει του χώρου προέλευσης (δημόσιος / ιδιωτικός τομέας), βάσει του είδους του αντικειμένου ενασχόλησης, βάσει του μεγέθους όσον αφορά της επιχειρήσεις και βάσει της συχνότητας εφαρμογής της διαδικασίας αξιολόγησης ευπαθειών στο παρελθόν. Τέλος, το έκτο κεφάλαιο περιέχει συμπεράσματα και παρατηρήσεις, καθώς και τρόπους με τους οποίους μπορεί να αξιοποιηθεί η συγκεκριμένη έρευνα. 2. Η έρευνα 2.1. Ευπάθειες και Αξιολόγηση & Διαχείρηση Ευπαθειών Ίσως το κυριότερο θέμα ασφάλειας που απειλεί ένα σύγχρονο Πληροφοριακό Σύστημα είναι η ύπαρξη ευπαθειών στο λογισμικό του. Οι ευπάθειες αυτές (ή αλλιώς τρωτά σημεία) μπορεί να οφείλονται σε πολλούς παράγοντες, οι πιο συνηθισμένοι από τους οποίους είναι κακές ρυθμίσεις του συστήματος, αλλαγές σε μεταβλητές του περιβάλλοντος είτε μειονεκτήματα ή προγραμματιστικά λάθη στον κώδικα του λογισμικού που περιέχεται στο Πληροφοριακό Σύστημα (βλ. και 2.2). Ένας επιτιθέμενος είναι πιθανό να μπορέσει να «εκμεταλλευτεί» τις ευπάθειες για να αποκτήσει δικαιώματα που δεν θα έπρεπε να είχε, με αποτέλεσμα να κινδυνεύει η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα της πληροφορίας που διαχειρίζεται το Πληροφοριακό Σύστημα. Τέτοιου είδους αδυναμίες ανακαλύπτονται κάθε μέρα, με αποτέλεσμα τα Πληροφοριακά Συστήματα να βρίσκονται 8

9 συνεχώς εκτεθειμένα σε καινούριους κινδύνους, άρα και σε νέες πιθανές επιθέσεις. Η βάση δεδομένων ευπαθειών (National Vulnerability Database) [2] του Εθνικού Ινστιτούτο Προτύπων και Τεχνολογίας (National Institute of Standards and Technology - NIST) 5 περιέχει πάνω από γνωστές ευπάθειες. Οι σύγχρονοι επιτιθέμενοι ενημερώνονται συνεχώς για την εμφάνιση νέων ευπαθειών για να τις εκμεταλλευτούν άμεσα, πριν προλάβουν τα υποψήφια θύματα να διορθώσουν τα κενά των Πληροφοριακών Συστημάτων τους. Όπως προαναφέρθηκε, ένας από τους παράγοντες ύπαρξης των ευπαθειών και ίσως ο κυριότερος, είναι προγραμματιστικά λάθη στο λογισμικό. Επομένως, θα μπορούσε να πει κανείς ότι η ευθύνη ανήκει στους πωλητές λογισμικών, δυστυχώς όμως πολλές φορές ο χρήστης καλείται να πάρει την κατάσταση στα χέρια του. Οι πωλητές λογισμικών έχουν συνειδητοποιήσει ότι η επιχείρησή τους κινδυνεύει εξαιτίας των ευπαθειών στα λογισμικά που διαθέτουν στην αγορά, κατά συνέπεια, προσπαθούν να αποποιηθούν την ευθύνη αυτή μέσω της άδειας συμφωνίας τελικού χρήστη (End-User License Agreements - EULA), που στις περισσότερες περιπτώσεις αποδεσμεύει τους προμηθευτές από τα θέματα διαχείρισης ευπαθειών [1], με αποτέλεσμα ο εντοπισμός τους και η επιδιόρθωσή τους να είναι αποκλειστική ευθύνη του χρήστη. Ακόμα και όταν οι προμηθευτές ανακαλύπτουν μία ευπάθεια σε προϊόν τους και προσπαθούν να ειδοποιήσουν τους πελάτες τους, συχνά δεν μπορούν να εκτιμήσουν την έκθεση του κάθε πελάτη στον κίνδυνο και να ανταποκριθούν στις επιμέρους ρυθμίσεις του καθενός από αυτούς. Για αυτό τον λόγο οι επιχειρήσεις και οι οργανισμοί που αντιμετωπίζουν συστηματικά ζητήματα ασφάλειας των συστημάτων τους υιοθετούν δύο διαδικασίες, τη διαδικασία της Αξιολόγησης Ευπαθειών (Vulnerability Assessment) και τη διαδικασία της Διαχείρισης Ευπαθειών (Vulnerability Management). Κατά την πρώτη διαδικασία (Vulnerability Assessment), αρχικά εκτελείται ανίχνευση ευπαθειών, στη συνέχεια, αφού αναγνωριστούν οι ευπάθειες, ταξινομούνται βάσει του βαθμού επικινδυνότητάς τους, ενώ παρέχονται και οδηγίες για την αντιμετώπισή τους. Οι οδηγίες αυτές μπορούν έπειτα να αξιοποιηθούν για τη δεύτερη διαδικασία (Vulnerability Management), όπου ο χρήστης αναγνωρίζει μόνος του τον κίνδυνο που προήλθε από μία ευπάθεια και αποφασίζει τον τρόπο με τον οποίο θα τον αντιμετωπίσει. Μία επιχείρηση μετά την τελευταία Αξιολόγηση Ευπαθειών στο Πληροφοριακό της Σύστημα μπορεί να εκτιμήσει την έκθεση της στον κίνδυνο που ήταν πιθανό να υπάρχει λαμβάνοντας υπόψη το είδος της ευπάθειας αλλά και το χρονικό διάστημα που υπάρχει στο Πληροφοριακό της Σύστημα και κυρίως το χρονικό διάστημα που είναι ευρέως γνωστή η συγκεκριμένη ευπάθεια. Η εφαρμογή της Διαδικασίας της Αξιολόγησης των ευπαθειών συνιστάται να γίνεται ανά τακτά χρονικά διαστήματα (ανά μέρα, ανά βδομάδα ή ανά μήνα το πολύ). Οι μεγάλες επιχειρήσεις συνήθως την εφαρμόζουν μία φορά την ημέρα ώστε τα Πληροφοριακά τους Συστήματα να μην εκτίθενται σχεδόν καθόλου σε νέες ευπάθειες και επομένως στους κινδύνους που πηγάζουν από αυτές. Η συχνότητα αυτή εκτός από το μέγεθος της επιχείρησης αυξάνεται όταν η επιχείρηση εισάγει συχνά καινοτόμα στοιχεία στο Πληροφορικό της Σύστημα. Τέτοια στοιχεία μπορεί να είναι καινούριες συσκευές ή καινούριο λογισμικό [5]. 5 Εθνικού Ινστιτούτο Προτύπων και Τεχνολογίας ( 9

10 Επίσης, δεδομένου ότι οι περισσότερες παραβιάσεις της ασφάλειας προκύπτουν εκ των έσω, συνιστάται η διαδικασία να μην εφαρμόζεται μόνο περιμετρικά διότι, για παράδειγμα, ένας επιτιθέμενος μπορεί να εκμεταλλευτεί μία ευπάθεια ενός προγράμματος περιήγησης (π.χ. Internet Explorer) την ώρα που ένας εργαζόμενος περιηγείται σε ιστοσελίδες και να αποκτήσει πρόσβαση σε δεδομένα που δεν θα έπρεπε να είχε. Οι μεμονωμένες περιμετρικές μέθοδοι συνήθως δεν μπορούν να προστατεύσουν από τέτοιου είδους απειλές. Σε ένα Πληροφοριακό Σύστημα το αγαθό που απειλείται είναι η Πληροφορία, όμως αξίζει να σημειωθεί ότι μία διαδικασία Αξιολόγησης των Ευπαθειών δεν περιορίζεται μόνο στα Πληροφοριακά Συστήματα, αλλά χρησιμοποιείται για την εκτίμηση των ευπαθειών συστημάτων παροχής ενέργειας, ύδρευσης, μεταφοράς και επικοινωνίας, με απειλή του αντίστοιχου αγαθού αναλόγως το σύστημα. Πολλοί τεχνικοί συγχέουν την διαδικασία της Αξιολόγησης Ευπαθειών με τη διαδικασία της Δοκιμής Διείσδυσης (Penetration Test), αφού και στις δύο διαδικασίες εντοπίζονται οι αδυναμίες ενός συστήματος. Η διαφορά έγκειται στο γεγονός ότι κατά τη διαδικασία της Δοκιμής Διείσδυσης προσομοιώνονται επιθέσεις και εκτελούνται επικίνδυνα scripts τα οποία μπορεί να επηρεάσουν την κανονική λειτουργία του συστήματος που εξετάζεται, σε αντίθεση με την διαδικασία του Vulnerability Assessment όπου ο έλεγχος εκτελείται σε ασφαλή επίπεδα. Επίσης, η διαδικασία της Αξιολόγησης των Ευπαθειών (Vulnerability Assessment) διαφέρει από την διαδικασία Αξιολόγησης του Κινδύνου (Risk Assessment), όπου γίνεται εκτίμηση των πιθανών κινδύνων ενός συστήματος. Η κύρια διαφορά τους είναι ότι με τη διαδικασία Αξιολόγησης των Ευπαθειών μπορούν να εντοπιστούν μόνο υπαρκτές αδυναμίες του συστήματος, οι οποίες οφείλονται κυρίως σε προγραμματιστικές αδυναμίες του λογισμικού που εμπεριέχεται στο σύστημα είτε σε κακές ρυθμίσεις από μέρους των διαχειριστών του συστήματος. Η Διαχείριση των Ευπαθειών (Vulnerability Management) είναι αναπόσπαστο κομμάτι της Διαχείρισης της Ασφάλειας (Security Management) και ανήκει στο εύρος της Διαχείρισης του Κινδύνου (Risk Management). Η διεξαγωγή της δεν είναι εύκολη υπόθεση και οι λόγοι είναι πολλοί. Κατ αρχάς υπάρχουν πάρα πολλές ευπάθειες με διαφορετικό τρόπο αντιμετώπισης η κάθε μία. Ακόμα και ευπάθειες χαμηλού κινδύνου μπορούν πολλές φορές να μετατραπούν σε ευπάθειες υψηλού κινδύνου. Επίσης, συνήθως, τα Πληροφοριακά Συστήματα έχουν μεγάλη υποδομή δικτύων με πολλές συσκευές και όλες αυτές είναι ευάλωτες στις ευπάθειες, ενώ μία και μόνο ευπάθεια είναι ικανή να διακυβεύσει την ασφάλεια ολόκληρου του δικτύου [4]. Βάσει της αναφοράς του Ινστιτούτου Ασφάλειας Υπολογιστών (Computer Security Institute - CSI) [3], στην εποχή μας, ενώ όλες σχεδόν οι εταιρείες χρησιμοποιούν για την ασφάλεια τους αντιβιοτική προστασία και αναχώματα ασφαλείας, η διαδικασία της Διαχείρισης Ευπαθειών βρίσκεται στο 67,5% - αν και σε σχέση με το 2010 υπήρχε μία μικρή άνοδος όσον αφορά στην προτίμηση της. Με την Διαχείριση των Ευπαθειών ο επιτιθέμενος και η επιχείρηση συναγωνίζονται με ίσους όρους και οι όροι αυτοί είναι φυσικά οι γνωστοποιημένες ευπάθειες. 10

11 Κάθε Πληροφοριακό Σύστημα για να περιορίσει τον βαθμό επικινδυνότητας χρειάζεται να εφαρμόσει την διαδικασία της Διαχείρισης Ευπαθειών προληπτικά για να υπάρχει επίκαιρη επίγνωση της κατάστασης ασφάλειας και ειδικά αν αντιμετωπίζει κάποιο θέμα ασφάλειας. Επιπλέον, στις μέρες μας, η Διαχείριση Ευπαθειών δεν είναι πλέον απλά μια τεχνική ανάγκη, αλλά έχει γίνει θεσμική απαίτηση για πολλούς οργανισμούς που επιδιώκουν να συμβαδίζουν με τους σύγχρονους κανονισμούς συμμόρφωσης και να ασκούν τις δραστηριότητές τους διεθνώς. Αυτό γιατί οι περισσότερες επιχειρήσεις αγνοούν ίσως εντελώς την ύπαρξη θεμάτων ασφαλείας και την αναγκαιότητα για τακτική αναβάθμισή τους Είδη ευπαθειών και διεθνή Πρότυπα Οι ευπάθειες μπορούν να χωριστούν, βάσει του είδους τους, σε τρεις κατηγορίες: Ευπάθειες ρυθμίσεων. Είναι αδυναμίες που προκαλούνται λόγω λανθασμένων ρυθμίσεων στο λογισμικό του Πληροφοριακού Συστήματος. Ευπάθειες πηγαίου κώδικα. Οφείλονται σε προγραμματιστικά λάθη του πηγαίου κώδικα στο λογισμικό του Πληροφοριακού Συστήματος. Ευπάθειες περιβάλλοντος. Προκαλούνται από άμεση ή έμμεση τροποποίηση σε μεταβλητές του περιβάλλοντος. Τα παρακάτω standards είναι τα πιο κοινά standards όσον αφορά τη Διαχείριση Ευπαθειών: CVE 6 (Common Vulnerabilities and Exposure) : Είναι ένα κοινό πρότυπο παροχής ενιαίων ονομάτων των ευπαθειών που χρησιμοποιείται για την αναφορά στην εκάστοτε ευπάθεια. Σε κάθε ευπάθεια που έχει δημοσιευθεί αντιστοιχεί ένα μοναδικό CVE. Για παράδειγμα, η ευπάθεια με CVE αντιστοιχεί σε μία ευπάθεια του ActiveX του Edraw Office Viewer όπου σε εκδόσεις προγενέστερες της έκδοσης 5.0, ένας επιτιθέμενος έχει τη δυνατότητα να διαγράψει αυθαίρετα αρχεία μέσω της μεθόδου DeleteLocalFile. CCE 7 (Common Configuration Enumeration) : Παρέχει μία μοναδική αναγνωριστική αρίθμηση για θέματα ρυθμίσεων συστημάτων, προκειμένου να διευκολυνθεί ο γρήγορος και ακριβής συσχετισμός ρυθμίσεων διαμέσου πολλαπλών πηγών και εργαλείων. CPE 8 (Common Platform Enumeration) : Είναι ένα δομημένο σχήμα ονοματοδοσίας για τα συστήματα τεχνολογίας των πληροφοριών και τα πακέτα τους. Αυτό καθιστά πολύ πιο εύκολη την σύνδεση των τρωτών σημείων των συστημάτων. Η δομή του CPE έχει ως εξής:

12 cpe :/ {μέρος}: {πωλητής}: {προϊόν}: {έτος έκδοσης}: {αναβάθμιση}: {έκδοση}: {γλώσσα} Ένα CPE είναι: cpe :/ o: Microsoft: Windows-nt: 2000: SP4: pro. CWE 9 (Common Weakness Enumeration): Είναι μία ενιαία μονάδα μετρήσεις των αδυναμιών λογισμικών. Επιτρέπει μία καλύτερη περιγραφή, συζήτηση, επιλογή και τη χρήση όσον αφορά των εργαλείων που μπορούν να βρουν αυτές τις αδυναμίες στον πηγαίο κώδικα και στο λειτουργικό σύστημα, καθώς και την καλύτερη κατανόηση και διαχείριση των αδυναμιών που σχετίζονται με το λογισμικό της αρχιτεκτονικής. CVSS 10 (Common Vulnerability Scoring System) : Είναι η κοινή μονάδα αξιολόγησης της επικινδυνότητας μιας ευπάθειας. Παρέχει μια τυποποιημένη αξιολόγηση για τρωτά σημεία που υπάρχουν στη Βάση Δεδομένων του NIST (NVD). H μονάδα σχετίζεται με την ευκολία έκθεσης της εκάστοτε ευπάθειας σε συνδυασμό με τον κίνδυνο της έκθεσης. Το CVSS μιας ευπάθειας έχει εύρος από 0 (χαμηλού κινδύνου) έως 10 (υψηλού κινδύνου). Πιο συγκεκριμένα, μία ευπάθεια με CVSS 0 έως 3,9 χαρακτηρίζεται ως Χαμηλού Κινδύνου, 4 έως 6,9 Μεσαίου Κινδύνου και 7 έως 10 Υψηλού Κινδύνου. Για παράδειγμα, η ευπάθεια CVE έχει βαθμό CVSS 7.8 και αξιολογείται ως ευπάθεια υψηλού κινδύνου (High). XCCDF 11 (Configuration Checklist Description Format) : Είναι μία γλώσσα προδιαγραφών για την σύνταξη καταλόγων ελέγχου της ασφάλειας, σημείων αναφοράς και συναφή είδη εγγράφων Το εργαλείο της έρευνας Για τον εντοπισμό τον ευπαθειών και για την δημιουργία των αναφορών που αποστάλθηκαν στους συμμετέχοντες, χρησιμοποιήθηκε το εμπορικό εργαλείο HIAB της εταιρείας Outpost24. To συγκεκριμένο εργαλείο μπορεί να παρέχει μία αυτοματοποιημένη λύση για συστηματικό έλεγχο Πληροφοριακών Συστημάτων, καθώς και απόδοση της ευθύνης επίλυσής τους σε πλήθος χρηστών με διαφορετικά δικαιώματα και αρμοδιότητες. Ο κάθε χρήστης συνδέεται στην εφαρμογή διαμέσου του πρωτοκόλλου https, μέσω ενός περιηγητή, ο οποίος τον οδηγεί σε ένα γραφικό περιβάλλον με δικαιώματα που του αντιστοιχούν. Ο έλεγχος ενός Πληροφοριακού Συστήματος πραγματοποιείται είτε με συγκεκριμένη λίστα στόχων είτε με ανίχνευση ενός ολόκληρου δικτύου ώστε να εντοπιστούν οι διαθέσιμοι στόχοι όπου στη συνέχεια μπορεί να εκτελεστεί η διαδικασία του Vulnerability Assessment σε μέρος ή σε όλους τους στόχους που εντοπίστηκαν

13 Για τον έλεγχο του κάθε στόχου υπάρχει ένα πλήθος διαφορετικών πολιτικών ελέγχου για την κάλυψη διαφορετικών αναγκών ανίχνευσης. Συγκεκριμένα, υπάρχουν οι εξής πολιτικές ελέγχου : Normal : Είναι ο τυπικός έλεγχος που περιλαμβάνει ελέγχους όλων των ευπαθειών, οι οποίοι δεν είναι παρεμβατικοί. Normal with WebAppl : Εφαρμόζεται η πολιτική τυπικού έλεγχου που περιγράψαμε παραπάνω με περεταίρω έλεγχο για επιθέσεις τύπου XSS (Cross Site Scripting) και SQL Injection. Port Scan : Περιλαμβάνει έλεγχο για τις καθορισμένες πόρτες TCP και UDP. Unsafe : Εφαρμόζεται η πολιτική τυπικού ελέγχου με τη διαφορά ότι εκτελούνται και επικίνδυνα scripts που μπορεί να επηρεάσουν την κανονική λειτουργία του συστήματος. New checks : Εφαρμόζεται η πολιτική τυπικού ελέγχου μόνο για τα καινούρια τρωτά σημεία που εμφανίστηκαν μετά τον τελευταίο έλεγχο. New checks and most recent findings : Εφαρμόζεται η πολιτική τυπικού ελέγχου μόνο για τα καινούρια τρωτά σημεία που εμφανίστηκαν μετά τον τελευταίο έλεγχο και για τα τρωτά σημεία που είχαν εντοπιστεί στο παρελθόν. PCI : Ο έλεγχος PCI (Payment Card Industry) χρησιμοποιείται στις συναλλαγές με πιστωτικές, όπου ελέγχονται για ευπάθειες στα συστήματα τους και τα δύο μέρη της συναλλαγής. Οι 5 μεγαλύτερες εταιρείες πιστωτικών έχουν ιδρύσει το συμβούλιο του PCI. Στο προϊόν HIAB η πολιτική ελέγχου PCI χρειάζεται ειδική άδεια. Μετά το πέρας της διαδικασίας του Vulnerability Assessment, τα αποτελέσματα αποθηκεύονται τοπικά στην εφαρμογή και υπάρχει η δυνατότητα να εξαχθούν αναφορές βάσει των αποτελεσμάτων σε διάφορους τύπους αρχείων σε συνδυασμό με πλήθος τύπων αναφορών. Στη συνέχεια, οι διαχειριστές βάσει των αναφορών αυτών μπορούν να αξιολογήσουν τις αδυναμίες, τον βαθμό της έκθεσής τους στον κίνδυνο και να προβούν άμεσα σε λύσεις Διαχείρισης των Ευπαθειών και του κινδύνου. Αξίζει να σημειωθεί ότι ο ανιχνευτής HIAB μπορεί να αναγνωρίσει ευπάθειες σε όλα τα επίπεδα ενός δικτύου ηλεκτρονικών υπολογιστών συμπεριλαμβανομένων εφαρμογών, Βάσεων Δεδομένων, Λειτουργικών Συστημάτων, αλλά και αρχείων. Επίσης, μπορεί να ανιχνεύσει ύποπτα προγράμματα, αναβαθμίσεις λογισμικών που δεν έχουν γίνει και να πραγματοποιήσει ελέγχους αυθεντικοποίησης σε web υπηρεσίες της εταιρείας. 13

14 2.4. Η μεθοδολογία της έρευνας Το πρώτο στάδιο της έρευνας αποτέλεσε η εκμάθηση του εργαλείου και η προσπάθεια συγκέντρωσης των υποψήφιων συμμετεχόντων στην έρευνα. Αρχικά, πραγματοποιήθηκε αναζήτηση στο διαδίκτυο για την συλλογή στοιχείων επικοινωνίας από υποψήφιους που ήταν πιθανό να διαχειρίζονται οι ίδιοι τους ιστοχώρους τους (web server), όπως για παράδειγμα εταιρείες πληροφορικής, ηλεκτρονικά καταστήματα ή εταιρείες μεγάλου μεγέθους. Αντίστοιχα, στον δημόσιο τομέα, οι υποψήφιοι αποτελούνταν από Κέντρα Διαχείρισης εκπαιδευτικών ιδρυμάτων και δήμους. Έτσι δημιουργήθηκε μία λίστα με περίπου 500 πιθανούς υποψήφιους στους οποίους απεστάλη μια επίσημη επιστολή της οποίας δημιουργός και αποστολέας ήταν ο κ. Κοκολάκης. Με τη συγκεκριμένη επιστολή προσκλήθηκαν επίσημα για συμμετοχή στην έρευνα όλοι οι υποψήφιοι της παραπάνω λίστας. Στη συνέχεια, πραγματοποιήθηκε επικοινωνία σχεδόν με όλους τους υποψήφιους συμμετοχής ώστε να ενημερωθούν για την έρευνα και να αναγνωριστούν οι ενδιαφερόμενοι. Τέλος, κατόπιν συνεννόησης με τους ενδιαφερόμενους που προέκυψαν, εφαρμόσθηκε ανίχνευση και αξιολόγηση των ευπαθειών στα συστήματα που μας υπέδειξαν. Η διεργασία πραγματοποιήθηκε με το εργαλείο HIAB της Outpost24, και πιο συγκεκριμένα με την πολιτική ελέγχου που παρέχεται από το εργαλείο «normal with webappl» κατά την οποία, σύμφωνα με την εταιρεία, πραγματοποιείται τυπική διεξαγωγή της διεργασίας Αξιολόγησης Ευπαθειών (Vulnerability Assessment) με περεταίρω έλεγχο για επιθέσεις τύπου Cross Site Scripting (XSS) και SQL Injection. Τα Πληροφοριακά Συστήματα που ελέγχτηκαν ήταν ιστοχώροι (web servers) με φυσική παρουσία στον ελληνικό χώρο, οι οποίοι διαχειρίζονται από τους ίδιους τους συμμετέχοντες. Ο έλεγχος πραγματοποιήθηκε είτε εσωτερικά είτε εξωτερικά, με τον εξωτερικό περιμετρικό έλεγχο να πραγματοποιείται με τις προκαθορισμένες ρυθμίσεις που χρησιμοποιούνται. Μετά την ολοκλήρωση των ανιχνεύσεων, ενημερώθηκαν μόνο οι αντίστοιχοι αρμόδιοι για τις αδυναμίες που εντοπίστηκαν στα συστήματά τους με την αποστολή της λεπτομερούς αναφοράς των ευρημάτων. Όλα τα αποτελέσματα που συγκεντρώθηκαν, χρησιμοποιήθηκαν για την εξαγωγή των στατιστικών στοιχείων που περιγράφονται παρακάτω. 14

15 2.5. Συνοπτικά Αποτελέσματα Σχετικά με την εφαρμογή της διαδικασίας: Το 31% δεν την έχει εφαρμόσει ποτέ στο παρελθόν. Το 66% δεν την έχει εφαρμόσει πάνω από μία φορά στο παρελθόν. Η πιο τακτική εφαρμογή της διαδικασίας πραγματοποιείται με συχνότητα μία φορά το εξάμηνο. Σχετικά με τις ευπάθειες: Στο 69% των συστημάτων που ελέγχτηκαν εντοπίστηκε τουλάχιστον μία ευπάθεια υψηλού κινδύνου. Οι υψηλού κινδύνου ευπάθειες αποτελούν το 27% του συνολικού αριθμού των ευπαθειών που εντοπίστηκαν. Ο πιο κοινός βαθμός επικινδυνότητας CVSS έχει τιμή «5». Το μεγαλύτερο μέρος των ευπαθειών εντοπίστηκε στις πόρτες 80 και 443. Ο μεγαλύτερος αριθμός ευπαθειών εντοπίζεται σε συστήματα με PHP και apache, ενώ οι περισσότερες ευπάθειες υψηλού κινδύνου εντοπίστηκαν σε προϊόν της oracle Στοιχεία των ελεγχθέντων συστημάτων Στον παρακάτω πίνακα παρατίθενται αναλυτικά τα στοιχεία του κάθε συστήματος που ελέγχτηκε. Η πρώτη στήλη περιέχει τα ID των συμμετεχόντων. Στην επομένη στήλη προσδιορίζεται αν το σύστημα ήταν ιδιωτικής επιχείρησης ή δημοσίου φορέα. Συγκεκριμένα, για λόγους ευκολίας παρουσίασης των αποτελεσμάτων, οι πρώτοι 19 συμμετέχοντες αφορούν ιδιωτικές επιχειρήσεις και οι επόμενοι 16 δημόσιους φορείς. Στη συνέχεια αναφέρεται το μέγεθος των επιχειρήσεων με βάση τον αριθμό των εργαζομένων τους, που αντιστοιχεί σε πολύ μικρή (για αριθμό εργαζομένων κάτω του 10), μικρή για επιχειρήσεις με εργαζόμενους μεταξύ 10 και 50, μεσαίου μεγέθους για επιχειρήσεις με εργαζόμενους μεταξύ 50 και 250 και μεγάλη για τις επιχειρήσεις με πάνω από 250 εργαζόμενους. Ακολουθεί αναφορά το είδος βασικό αντικείμενο ενασχόλησης της εταιρείας / δημόσιου φορέα. Η τελευταία στήλη περιλαμβάνει το σύστημα που ελέγχθηκε τα οποία ήταν κυρίως ιστοχώροι (web server) με μία μικρή απόκλιση από μη 15

16 προσδιορισμένο είδος (Unspecified). Η ταξινόμηση του πίνακα και στις δύο ενότητες (φορέας - επιχείρηση) έγινε τυχαία. ID Επιχείρηση / Φορέας Μέγεθος Επιχείρησης Αντικείμενο Πληροφοριακό Σύστημα ID001 Επιχείρηση Μικρή Πληροφορικής Web Server ID002 Επιχείρηση Μικρή Πληροφορικής Web Server ID003 Επιχείρηση Μεσαία Άλλο Web Server ID004 Επιχείρηση Μικρή Πληροφορικής Web Server ID005 Επιχείρηση Πολύ Μικρή Πληροφορικής Web Server ID006 Επιχείρηση Μεσαία Άλλο Web Server ID007 Επιχείρηση Μικρή Πληροφορικής Unspecified ID008 Επιχείρηση Μικρή Πληροφορικής Web Server ID009 Επιχείρηση Μικρή Πληροφορικής Web Server ID010 Επιχείρηση Μικρή Άλλο Web Server ID011 Επιχείρηση Μικρή Πληροφορικής Unspecified ID012 Επιχείρηση Μεσαία Άλλο Web Server ID013 Επιχείρηση Μεσαία Άλλο Web Server ID014 Επιχείρηση Μικρή Άλλο Web Server ID015 Επιχείρηση Μεγάλη Άλλο Web Server ID016 Επιχείρηση Πολύ Μικρή Άλλο Web Server ID017 Επιχείρηση Μικρή Άλλο Web Server ID018 Επιχείρηση Μικρή Άλλο Web Server ID019 Επιχείρηση Πολύ Μικρή Άλλο Web Server ID020 Φορέας - ΚΔΔ Web Server ID021 Φορέας - ΚΔΔ Web Server ID022 Φορέας - Δήμος Web Server ID023 Φορέας - ΚΔΔ Web Server ID024 Φορέας - ΚΔΔ Web Server ID025 Φορέας - ΚΔΔ Web Server ID026 Φορέας - ΚΔΔ Web Server ID027 Φορέας - ΚΔΔ Web Server ID028 Φορέας - Δήμος Web Server ID029 Φορέας - Δήμος Web Server ID030 Φορέας - ΚΔΔ Web Server ID031 Φορέας - ΚΔΔ Web Server ID032 Φορέας - Άλλο Web Server ID033 Φορέας - Άλλο Web Server ID034 Φορέας - Δήμος Web Server ID035 Φορέας - Άλλο Web Server Από τα παραπάνω προκύπτει ότι οι έλεγχοι σε επιχειρήσεις αποτέλεσαν το 54% των ελέγχων που πραγματοποιήθηκαν και αντίστοιχα το 46% ήταν έλεγχοι σε δημόσιους φορείς. Το 42% των ελέγχων στον ιδιωτικό τομέα πραγματοποιήθηκε σε επιχειρήσεις με βασικό αντικείμενο την πληροφορική, ενώ το υπόλοιπο 58% σε εταιρείες με διαφορετικό βασικό 16

17 αντικείμενο, το οποίο δεν προσδιορίζεται για λόγους ανωνυμίας. Αντίστοιχα, στον δημόσιο τομέα το 56% των ελέγχων έγινε σε ιστοχώρους Κέντρων Διαχείρισης Δικτύων εκπαιδευτικών ιδρυμάτων, το 25% σε ιστοχώρους που τους διαχειρίζονταν δήμοι, ενώ το το υπόλοιπο 19% σε φορείς άλλου αντικειμένου το οποίο επίσης δεν προσδιορίζεται για λόγους ανωνυμίας. Τα Πληροφοριακά Συστήματα που ελέγχτηκαν ήταν Ιστοχώροι (Web Servers) σε ποσοστό πάνω από 94%, ενώ το 6% ήταν μη προσδιορισμένα συστήματα. 3. Συγκεντρωτικά Στατιστικά Αποτελέσματα 3.1. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που προέκυψαν από το σύνολο των συστημάτων που ελέγχτηκαν βάσει του επιπέδου επικινδυνότητας των ευπαθειών. Συνολικά υπήρξαν 3231 ευρήματα, από τα οποία τα 1051 δεν αποτελούσαν ευπάθειες, αλλά ένας επιτιθέμενος μπορούσε να αντλήσει πληροφορίες για τα συστήματα. Τα υπόλοιπα 2180 ευρήματα αναγνωρίζονται ως ευπάθειες από το NVD του NIST που αναφέραμε παραπάνω. Συγκεκριμένα, εντοπίστηκαν συνολικά 581 ευπάθειες Υψηλού Κινδύνου (High Risk), δηλαδή ο βαθμός επικινδυνότητάς τους CVSS κυμαίνεται από 7 και πάνω, οι οποίες αποτελούν το 27% του συνόλου των ευπαθειών. Εντοπίστηκαν 1387 Μεσαίου Κινδύνου (Medium Risk), δηλαδή με CVSS μεταξύ 4 και 6,9 και 212 Χαμηλού Κινδύνου (Low Risk) δηλαδή με CVSS μικρότερο του 4. Risk Level Overview High Risk 581 Medium Risk 1387 Low Risk 212 Info 1051 Total % 10% Risk Level Overview 27% High Risk Medium Risk Low Risk 17

18 3.2. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που εντοπίστηκαν στο σύνολο των συστημάτων που ελέγχτηκαν βάσει της οικογένειας που ανήκουν οι ευπάθειες, δηλαδή του προϊόντος, της υπηρεσίας ή του είδους της ευπάθειας. Συνολικά υπήρξαν 3231 ευρήματα, από τα οποία τα 581 ήταν Υψηλού Κινδύνου (High Risk). Στον παρακάτω πίνακα η πρώτη στήλη περιλαμβάνει τις οικογένειες των ευπαθειών, η δεύτερη το πλήθος των ευπαθειών που εντοπίστηκαν στην αντίστοιχη οικογένεια και η τρίτη το πλήθος εκ των οποίων ήταν υψηλού κινδύνου. Τα αποτελέσματα δείχνουν ότι οι περισσότερες ευπάθειες εντοπίζονται σε συστήματα με PHP, με συνολικά ευρήματα 699, και ακολουθούν συστήματα με Apache και προϊόντα της Oracle. Οι περισσότερες ευπάθειες υψηλού κινδύνου εντοπίζονται σε συστήματα με προϊόντα της Oracle και ακολουθούν συστήματα με PHP, Apache και προϊόντα της Microsoft. Risc Category Overview total high was http ssl oppenssh snmp 9 2 ssh 33 0 wasx 90 7 ftp 35 0 unencrypted-remoteauthentication 41 0 misc 60 1 icmp 23 0 smtp 23 0 remote-management 5 0 database 15 0 ip 20 0 rpc 4 0 tcp 19 0 microsoft os_detection 21 0 php xss 40 0 dns 14 0 pop3 4 0 mysql 3 0 apache imap 7 0 joomla 15 6 isc 2 0 oracle openssl 48 9 smb 79 4 vnc 3 1 samba 2 1 other 29% oracle 10% Vulnerability families apache 9% was 10% php 22% http 11% ssl 9% High Risk Vulnerability families oracle 34% other 17% microso ft 7% apache 11% php 31% 18

19 http-proxy 2 0 http-webdev 1 0 phpmyadmin telnet 2 0 mod_ssl 6 5 isc 18 8 webmin 23 9 squirrelmail 28 0 Total Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που εντοπίστηκαν στο σύνολο των συστημάτων που ελέγχτηκαν βάσει της πόρτας εμφάνισης των ευπαθειών ταξινομημένα βάσει της επικινδυνότητας τους. Συνολικά υπήρξαν 3231 ευρήματα, από τα οποία τα 1051 αποτελούν ευρήματα άντλησης πληροφορίας σχετικά με το σύστημα που ελέγχεται, τα 581 είναι ευπάθειες Υψηλού Κινδύνου (High Risk), τα 1387 είναι ευπάθειες Μεσαίου Κινδύνου (Medium Risk) και τα 212 είναι ευπάθειες Χαμηλού Κινδύνου (Low Risk). Συνολικά εντοπίστηκαν 168 διαφορετικές ανοιχτές πόρτες, σε πολλές από τις οποίες δεν εντοπίστηκε κανένα είδος ευπάθειας. Στις πόρτες 80 (HTTP) και 443 (HTTPS) εντοπίστηκε ο μεγαλύτερος αριθμός ευπαθειών. Όσον αφορά τις ευπάθειες Υψηλού Κινδύνου, εντοπίστηκαν επίσης στις προηγούμενες πόρτες και έπειτα ακολούθησε με μικρή διαφορά η πόρτα 7777 (Oracle Server) και στη συνέχεια η πόρτα 1433 (Microsoft SQL Server). Βάσει των προηγούμενων στοιχείων δημιουργήθηκαν τα επόμενα δύο γραφήματα. Το πρώτο περιλαμβάνει τις πόρτες με τα περισσότερα ευρήματα και το δεύτερο τις πόρτες με τις περισσότερες ευπάθειες Υψηλού Κινδύνου Top Port Overview

20 Ο παρακάτω πίνακας παρουσιάζει αναλυτικά τα αποτελέσματα της έρευνας όσον αφορά το πλήθος τον ευπαθειών που εντοπίστηκε σε κάθε πόρτα, ταξινομώντας όλα τα ευρήματα ανά επίπεδο επικινδυνότητας. Στο πίνακα δεν αναφέρονται οι ανοιχτές πόρτες στις οποίες δεν υπήρχαν ευρήματα. Top Port Overview Port High Medium Low Info Port High Medium Low Info General Total

21 Percent 3.4. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Βαθμού Επικινδυνότητας CVSS Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που εντοπίστηκαν στο σύνολο των συστημάτων που ελέγχτηκαν βάσει του βαθμού επικινδυνότητας CVSS των ευπαθειών. Συνολικά υπήρξαν 3231 ευρήματα. Από αυτά τα 581 ήταν ευπάθειες Υψηλού Κινδύνου (High Risk), δηλαδή ο βαθμός επικινδυνότητας τους CVSS κυμαίνεται από 7 έως 10. Τα 1387 ήταν Μεσαίου Κινδύνου (Medium Risk), δηλαδή με CVSS μεταξύ 4 και 6,9 και τα 212 ήταν Χαμηλού Κινδύνου (Low Risk) δηλαδή με CVSS μικρότερο του 4. Τα 1051 δεν αποτελούν ευπάθειες, αλλά ένας επιτιθέμενος μπορεί να αντλήσει πληροφορίες για τα εν λόγω συστήματα. Στον παρακάτω πίνακα η πρώτη στήλη περιλαμβάνει τον βαθμό επικινδυνότητας CVSS, η δεύτερη στήλη περιλαμβάνει το πλήθος των ευπαθειών που αντιστοιχούν στο CVSS και η τρίτη στήλη περιλαμβάνει το ποσοστό εμφάνισης στο σύνολο. Το μεγαλύτερο ποσοστό εντοπίζεται σε ευπάθειες με βαθμό CVSS 5, ενώ οι ευπάθειες με βαθμό 10 αποτελούν το 10%. CVSS Overview CVSS Score Overview High Risk 40% % 35% 9,3 36 2% % 30% 8,8 1 0% 25% 8,6 2 0% 20% 8,5 16 1% 15% 7,9 1 0% 10% 7,8 47 2% 5% 7,6 1 0% 7, % 0% 7,3 2 0% 10 8,8 7,9 7,5 6,9 6,4 5,8 5 4,6 4 2,8 2,1 1,2 7,1 30 1% CVSS Score Medium Risk 6,9 14 1% 6, % 6,5 11 1% 6, % 6,2 1 0% Low Risk 6,1 2 0% 3,7 1 0% 6 5 0% 3,6 3 0% 5,8 28 1% 3,5 24 1% 5,5 8 0% 2,8 2 0% 5,1 3 0% 2,6 60 3% % 2,4 1 0% 4,9 16 1% 2,1 9 0% 4,7 5 0% 1,8 3 0% 4,6 19 1% 1,7 22 1% 4,4 10 0% 1,2 11 1% 4, % 1 3 0% % % Total % 21

22 4. Αναλυτικά Στατιστικά Αποτελέσματα 4.1. Αναλυτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας Στον παρακάτω πίνακα εμφανίζονται τα αποτελέσματα των συμμετεχόντων ανώνυμα, αναφέροντας για κάθε σύστημα που ελέγχθηκε τον ακριβή αριθμό των ευρεθέντων ευπαθειών Υψηλού, Μεσαίου και Χαμηλού Κινδύνου (High Medium Low Risk) καθώς και τον αριθμό των ευρημάτων συλλογής πληροφοριών (Info). Επιπλέον, αναφέρεται το είδος του ελέγχου που πραγματοποιήθηκε, δηλαδή εξωτερικός ή εσωτερικός έλεγχος (External - Internal), καθώς και η συχνότητα (Frequency) εφαρμογής της διαδικασίας του Vulnerability Assessment στο παρελθόν. High Medium Low Info Total Είδος Ελέγχου Συχνότητα ID Εσωτερικός ΠΟΤΕ ID Εσωτερικός 1 / εξάμηνο ID Εσωτερικός 1 φορά στο Παρελθόν ID Εσωτερικός 1 / εξάμηνο ID Εξωτερικός 1 / έτος ID Εξωτερικός ΠΟΤΕ ID Εσωτερικός 1 / εξάμηνο ID Εσωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός 1 φορά στο Παρελθόν ID Εσωτερικός 1 φορά στο Παρελθόν ID Εσωτερικός ΠΟΤΕ ID Εξωτερικός ΠΟΤΕ ID Εσωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός 1 / έτος ID Εξωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός 1 / έτος ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός 1 / έτος ID Εξωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός 1 / έτος ID Εξωτερικός 1 / εξάμηνο ID Εξωτερικός 1 / έτος ID Εξωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός 1 / έτος ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός 1 / έτος ID Εξωτερικός 1 φορά στο Παρελθόν ID Εξωτερικός ΠΟΤΕ ID Εξωτερικός 1 φορά στο Παρελθόν Total

23 4.2. Αναλυτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών Παρακάτω παρατίθενται, ανώνυμα για κάθε συμμετέχοντα, τα αναλυτικά αποτελέσματα που προέκυψαν βάσει της κατηγορίας των ευρημάτων. Σε κάθε πίνακα (που αντιστοιχεί σε κάθε έλεγχο που πραγματοποιήθηκε) αναφέρεται το πλήθος των ευρημάτων και προσδιορίζεται ο ακριβής αριθμός των ευπαθειών Υψηλού Κινδύνου. Ακολουθεί το αντίστοιχο αναλυτικό γράφημα καθώς και γράφημα μορφής πίτας με τα ευρήματα ευπαθειών Υψηλού Κινδύνου στις περιπτώσεις που εντοπίστηκαν. Τα δύο γραφήματα σχετίζονται, εκτός από την περιγραφή, και με το χρώμα τους για ευκολία συσχετισμού του συνόλου ευπαθειών κάθε κατηγορίας με τις ευπάθειες Υψηλού Κινδύνου της ίδιας κατηγορίας. Οι κατηγορίες «was» και «wasx» (Web Application Extended Scanning) φανερώνουν ευρήματα από έλεγχο web εφαρμογών και αφορούν κυρίως επιθέσεις Cross Site Scripting και Sql Injection. ID001 - Risk Category Overview Total High ssl 6 0 smb 5 0 misc 4 0 was 4 0 http 3 0 microsoft 3 1 dns 2 0 icmp 1 0 unecrypted-remoteauthentication 1 0 os_detection 1 0 database 1 0 ip 1 0 Total 32 1 High Risk Category Overview microsoft 23

24 ID002 - Risk Category Overview Total High was 32 0 http 28 2 ssl 25 0 oppenssh 14 4 snmp 6 2 ssh 4 0 wasx 3 0 ftp 3 0 unencrypted-remoteauthentication 2 0 misc 2 0 icmp 1 0 smtp 1 0 remote-management 1 0 database 1 0 ip 1 0 rpc 1 0 tcp 1 0 Total High Risk Category Overview snmp http oppenssh 24

25 ID003 - Risk Category Overview Total High microsoft 19 6 http 19 0 ssl 18 0 was 13 0 smb 7 1 wasx 6 1 ftp 6 0 unecrypted-remoteauthentication 3 0 misc 2 0 icmp 1 0 os_detection 1 0 xss 1 0 database 1 0 ip 1 0 http-webdev 1 0 Total 99 8 High Risk Category Overview wasx smb microsoft 25

26 ID004 - Risk Category Overview Total High oracle was 38 0 openssl 33 4 http 31 7 openssh 14 4 smb 12 0 ssl 8 0 wasx 8 0 xss 4 0 ssh 4 0 misc 4 0 vnc 3 1 unencrypted-remoteauthentication 2 0 remote-management 2 0 database 2 0 icmp 1 0 smtp 1 0 os_detection 1 0 ip 1 0 microsoft 1 0 rpc 1 0 tcp 1 0 Total High Risk Category Overview openssh vnc http openssl oracle 26

27 ID005 - Risk Category Overview Total High ssl 21 0 http 16 0 was 14 0 smtp 5 0 unencrypted-remoteauthentication 5 0 Apache 4 0 ssh 4 0 openssh 3 0 misc 3 0 dns 2 0 xss 2 0 wasx 2 0 imap 2 0 isc 2 0 ftp 2 0 tcp 2 0 icmp 1 0 pop3 1 0 database 1 0 Total

28 ID006 - Risk Category Overview Total High http 8 0 ssl 7 0 was 4 0 ftp 3 0 microsoft 3 2 unencrypted-remoteauthentication 1 0 os_detection 1 0 wasx 1 0 misc 1 0 Total 29 2 High Risk Category Overview microsoft 28

29 ID007 - Risk Category Overview Total High smb 11 0 was 11 0 http 9 1 ssh 4 0 openssh 3 0 samba 2 1 icmp 1 0 rpc 1 0 http-proxy 1 0 wasx 1 0 ip 1 0 misc 1 0 Total 46 2 samba High Risk Category Overview http 29

30 ID008 - Risk Category Overview Total High microsoft smb 14 1 http 11 0 ssl 9 0 was 9 0 misc 4 0 dns 2 0 wasx 2 0 database 2 0 icmp 1 0 unecrypted-remoteauthentication 1 0 os_detection 1 0 tcp 1 0 Total High Risk Category Overview smb microsoft 30

31 ID009 - Risk Category Overview Total High icmp 1 0 ssl 1 0 misc 1 0 ip 1 0 Total

32 ID010 - Risk Category Overview Total High http 19 0 ssl 15 0 was 15 0 smb 14 1 microsoft 8 0 smtp 3 0 wasx 3 0 misc 3 0 unecrypted-remoteauthentication 2 0 dns 2 0 icmp 1 0 os_detection 1 0 database 1 0 ip 1 0 tcp 1 0 Total 89 1 High Risk Category Overview smb 32

33 ID011 - Risk Category Overview Total High ssl 10 0 microsoft 10 1 was 7 0 smb 6 0 http 4 0 misc 3 0 wasx 2 0 icmp 1 0 unecrypted-remoteauthentication 1 0 os_detection 1 0 xss 1 0 database 1 0 ip 1 0 tcp 1 0 Total 49 1 High Risk Category Overview microsoft 33

34 ID012- Risk Category Overview Total High php ssl 19 0 http 14 0 smtp 7 0 unencrypted-remoteauthentication 6 0 was 5 0 xss 4 0 snmp 3 0 wasx 3 1 misc 3 0 dns 2 0 ftp 2 0 pop3 1 0 database 1 0 ip 1 0 mysql 1 0 Total High Risk Category Overview wasx php 34

35 ID013 - Risk Category Overview Total High apache http 23 0 ssl 17 0 openssl 15 5 was 11 1 microsoft 7 0 smb 7 1 mod_ssl 6 5 wasx 5 0 misc 5 1 xss 3 0 unecrypted-remoteauthentication 2 0 icmp 1 0 os_detection 1 0 remote-management 1 0 oracle 1 0 telnet 1 0 database 1 0 ip 1 0 tcp 1 0 Total High Risk Category Overview misc smb mod_ssl was openssl apache 35

36 ID014 - Risk Category Overview Total High isc 18 8 http 9 0 was 8 0 ssl 3 0 dns 2 0 icmp 1 0 xss 1 0 ip 1 0 misc 1 0 Total 44 8 High Risk Category Overview isc 36

37 ID015 - Risk Category Overview Total High was 9 0 wasx 3 1 misc 1 0 Total 13 1 High Risk Category Overview wasx 37

38 ID016 - Risk Category Overview Total High php 12 6 was 10 0 http 10 0 ssl 5 9 ssh 4 0 ftp 4 4 xss 2 0 icmp 1 0 openssh 1 0 unecrypted-remoteauthentication 1 0 database 1 0 misc 1 0 ip 1 0 Total High Risk Category Overview php 38

39 ID017 - Risk Category Overview Total High ssl 7 0 was 7 0 http 6 0 wasx 3 0 icmp 1 0 ip 1 0 misc 1 0 Total

40 ID018 - Risk Category Overview Total High http 14 0 was 12 0 ssl 5 0 wasx 5 0 microsoft 2 2 os_detection 1 0 misc 1 0 Total 40 2 High Risk Category Overview microsoft 40

41 ID019 - Risk Category Overview Total High ssl 46 0 http 24 0 joomla 15 6 openssh 14 4 unecrypted-remoteauthentication 5 0 xss 4 0 ssh 4 0 smtp 3 0 misc 3 0 ftp 3 0 dns 2 0 imap 2 0 mysql 2 0 icmp 1 0 os_detection 1 0 pop3 1 0 database 1 0 tcp 1 0 webmin 1 0 Total High Risk Category Overview openssh joomla 41

42 ID020 - Risk Category Overview Total High php apache phpmyadmin 28 8 http 8 0 was 6 0 ftp 5 0 xss 2 0 icmp 1 0 unencrypted-remoteauthentication 1 0 os_detection 1 0 ip 1 0 misc 1 0 Total High Risk Category Overview apache php 42

43 ID021 - Risk Category Overview Total High was 4 0 http 2 0 xss 1 0 tcp 1 0 wasx 1 0 ip 1 0 misc 1 0 Total

44 ID022 - Risk Category Overview High Risk Category Overview Total High oracle http http 19 3 was 10 0 xss 3 0 ssl 3 0 wasx 3 0 icmp 1 0 tcp 1 0 ip 1 0 misc 1 0 Total oracle 44

45 ID023 - Risk Category Overview Total High was 6 0 http 3 0 wasx 2 0 icmp 1 0 os_detection 1 0 tcp 1 0 misc 1 0 Total

46 ID024 - Risk Category Overview Total High http 10 0 was 9 0 wasx 5 2 ssl 4 0 php 2 2 os_detection 1 0 misc 1 0 Total 32 4 php High Risk Category Overview wasx 46

47 ID025 - Risk Category Overview Total High was 10 0 http 4 0 wasx 3 0 icmp 1 0 os_detection 1 0 tcp 1 0 misc 1 0 Total

48 ID026 - Risk Category Overview Total High http 8 0 ssl 8 0 xss 2 0 icmp 1 0 rpc 1 0 os_detection 1 0 tcp 1 0 database 1 0 ip 1 0 misc 1 0 Total

49 ID027 - Risk Category Overview Total High was 7 0 wasx 6 2 http 5 0 icmp 1 0 os_detection 1 0 tcp 1 0 misc 1 0 Total 22 2 High Risk Category Overview wasx 49

50 ID028 - Risk Category Overview Total High was 10 0 http 3 0 ssl 3 0 ssb 3 0 wasx 2 0 icmp 1 0 unucrypted-remoteauthentication 1 0 os_detection 1 0 remote-management 1 0 tcp 1 0 telnet 1 0 misc 1 0 Total

51 ID029 - Risk Category Overview Total High was 6 0 http 3 0 wasx 3 0 os_detection 1 0 xss 1 0 misc 1 0 Total

52 ID030 - Risk Category Overview Total High apache 17 0 was 9 0 wasx 7 0 http 6 0 ssh 4 0 icmp 1 0 os_detection 1 0 http-proxy 1 0 tcp 1 0 misc 1 0 Total

53 ID031 - Risk Category Overview Total High php apache http 10 0 was 6 0 unencrypted-remoteauthentication 3 0 ftp 3 0 xss 2 0 icmp 1 0 os_detection 1 0 ip 1 0 misc 1 0 Total High Risk Category Overview apache php 53

54 ID032 - Risk Category Overview Total High was 7 0 wasx 5 0 http 4 0 xss 1 0 tcp 1 0 misc 1 0 Total

55 ID033 - Risk Category Overview Total High php was 15 0 ssl 8 0 http 7 0 xss 2 0 wasx 2 0 ip 1 0 misc 1 0 Total High Risk Category Overview php 55

56 ID034 - Risk Category Overview Total High phpmyadmin 54 8 ssl 30 0 squirrelmail 28 0 webmin 22 9 http 20 0 openssh 14 4 ssh 5 0 was 5 0 unecrypted-remoteauthentication 4 0 wasx 4 0 ftp 4 0 xss 3 0 smtp 2 0 imap 2 0 os_detection 1 0 pop3 1 0 misc 1 0 php 1 0 tcp 1 0 Total High Risk Category Overview openssh webmin phpmyad min 56

57 ID035 - Risk Category Overview Total High apache 46 5 http 3 0 was 3 0 xss 1 0 ip 1 0 misc 1 0 Total 55 5 High Risk Category Overview apache 57

58 4.3. Αναλυτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης Παρακάτω παρατίθενται τα αποτελέσματα των συμμετεχόντων ανώνυμα, αναφέροντας για κάθε σύστημα που ελέγχθηκε τον ακριβή αριθμό των ευρεθέντων ευπαθειών Υψηλού, Μεσαίου και Χαμηλού Κινδύνου (High Medium Low Risk) καθώς και τον αριθμό των ευρημάτων συλλογής πληροφοριών (Info) που εντοπίστηκαν σε κάθε πόρτα. ID001 - Top Port Overview High Medium Low Info General Total ID002 - Top Port Overview High Medium Low Info General Total

59 ID003 - Top Port Overview High Medium Low Info General Total ID004 - Top Port Overview High Medium Low Info General Total

60 ID005 - Top Port Overview High Medium Low Info General Total ID006 - Top Port Overview High Medium Low Info General Total

61 ID007 - Top Port Overview High Medium Low Info General Total ID008 - Top Port Overview High Medium Low Info General Total ID009 - Top Port Overview High Medium Low Info General Total

62 ID010 - Top Port Overview High Medium Low Info General Total ID011 - Top Port Overview High Medium Low Info General Total

63 ID012 - Top Port Overview High Medium Low Info General Total ID013 - Top Port Overview High Medium Low Info General Total

64 ID014 - Top Port Overview High Medium Low Info General Total ID015 - Top Port Overview High Medium Low Info General Total ID016 - Top Port Overview High Medium Low Info General Total

65 ID0 17- Top Port Overview High Medium Low Info General Total ID018 - Top Port Overview High Medium Low Info General Total ID019 - Top Port Overview High Medium Low Info General Total

66 ID020 - Top Port Overview High Medium Low Info General Total ID021 - Top Port Overview High Medium Low Info General 7 Total ID022 - Top Port Overview High Medium Low Info General Total ID023 - Top Port Overview High Medium Low Info Total

67 ID024 - Top Port Overview High Medium Low Info General Total ID025 - Top Port Overview High Medium Low Info General 8 Total ID026 - Top Port Overview High Medium Low Info General Total

68 ID027 - Top Port Overview High Medium Low Info General 4 Total ID028 - Top Port Overview High Medium Low Info General Total ID029 - Top Port Overview High Medium Low Info General 10 Total ID030 - Top Port Overview High Medium Low Info General Total

69 ID031 - Top Port Overview High Medium Low Info General Total ID032 - Top Port Overview High Medium Low Info General Total ID033 - Top Port Overview High Medium Low Info General Total