ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ. Σχολή Θετικών Επιστηµών και Τεχνολογίας. Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH. Θεµατική Ενότητα

Transcript

1 Aσφάλεια ικτύων Σηµείωση Το ΕΑΠ είναι υπεύθυνο για την επιµέλεια έκδοσης και την ανάπτυξη των κειµένων σύµφωνα µε τη Μεθοδολογία της εξ Αποστάσεως Εκπαίδευσης. Για την επιστηµονική αρτιότητα και πληρότητα των συγγραµ- µάτων την αποκλειστική ευθύνη φέρουν οι συγγραφείς, κριτικοί αναγνώστες και ακαδηµαϊκοί υπεύθυνοι που ανέλαβαν το έργο αυτό.

2

3 ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος B' Aσφάλεια ικτύων ΣΩΚΡΑΤΗΣ KΑΤΣΙΚΑΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου ΠATPA 2001

4 ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Σχολή Θετικών Επιστηµών και Τεχνολογίας Πρόγραµµα Σπουδών ΠΛHPOΦOPIKH Θεµατική Ενότητα ΠPOΣTAΣIA KAI AΣΦAΛEIA ΣYΣTHMATΩN YΠOΛOΓIΣTΩN Τόµος B' Aσφάλεια ικτύων Συγγραφή ΣΩKPATHΣ KATΣIKAΣ Kαθηγητής Tµήµατος Mηχανικών Πληροφοριακών και Eπικοινωνιακών Συστηµάτων Πανεπιστηµίου Aιγαίου Ακαδηµαϊκός Υπεύθυνος για την επιστηµονική επιµέλεια του τόµου ΠAYΛOΣ ΣΠYPAKHΣ Καθηγητής Tµήµατος Mηχανικών H/Y & Πληροφορικής Πανεπιστηµίου Πατρών Επιµέλεια στη µέθοδο της εκπαίδευσης από απόσταση AXIΛΛEAΣ KAMEAΣ Γλωσσική Επιµέλεια IΩANNHΣ ΓAΛANOΠOYΛOΣ Τεχνική Επιµέλεια EΣΠI EK OTIKH EΠE Καλλιτεχνική Επιµέλεια, Σελιδοποίηση TYPORAMA Συντονισµός ανάπτυξης εκπαιδευτικού υλικού και γενική επιµέλεια των εκδόσεων ΟΜΑ Α ΕΚΤΕΛΕΣΗΣ ΕΡΓΟΥ ΕΑΠ / ISBN: X Kωδικός Έκδοσης: ΠΛH 35/2 Copyright 2001 για την Ελλάδα και όλο τον κόσµο ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ Οδός Παπαφλέσσα & Υψηλάντη, Πάτρα Τηλ: (0610) , Φαξ: (0610) Σύµφωνα µε το Ν. 2121/1993, απαγορεύεται η συνολική ή αποσπασµατική αναδηµοσίευση του βιβλίου αυτού ή η αναπαραγωγή του µε οποιοδήποτε µέσο χωρίς την άδεια του εκδότη.

5 ÂÚÈÂ fiìâó Πρόλογος K º π 1 Ó ÁÎË appleúôûù Û ÙˆÓ ÈÎÙ ˆÓ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Η σηµασία των δικτύων H κοινωνία της πληροφορίας Tο ηλεκτρονικό εµπόριο Eπιθέσεις που έµειναν στην ιστορία Eισαγωγικές παρατηρήσεις O έλικας του διαδικτύου Tο αυγό του κούκου Ένα απόγευµα µε τον Berferd To A & M University του Texas H περίπτωση του Kevin Mitnick Koινά χαρακτηριστικά των επιθέσεων Tι σηµαίνει «Aσφάλεια δικτύων» Σύνοψη Bιβλιογραφία K º π 2 AÚ ÈÙÂÎÙÔÓÈÎ AÛÊ ÏÂÈ ÈÎÙ ˆÓ OSI Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Bασικές αρχές δικτύων Eισαγωγικές παρατηρήσεις Στοιχεία δικτύων... 38

6 6 A º π π Àø Eπικοινωνίες Πρωτόκολλα Tο µοντέλο αναφοράς OSI Aπειλές Yπηρεσίες ασφάλειας στο µοντέλο OSI Yπηρεσίες εξασφάλισης συνεχούς λειτουργίας Yπηρεσίες προστασίας ακεραιότητας Yπηρεσίες αυθεντικοποίησης Yπηρεσίες ελέγχου πρόσβασης Yπηρεσίες προστασίας εµπιστευτικότητας Yπηρεσίες υποστήριξης µη αµφισβήτησης Yπηρεσίες ασφάλειας στα επίπεδα OSI Mηχανισµοί ασφάλειας στο µοντέλο OSI Eισαγωγικές παρατηρήσεις Kρυπτογράφηση Ψηφιακές υπογραφές Έλεγχος πρόσβασης Aκεραιότητα δεδοµένων Aνταλλαγή πληροφοριών αυθεντικοποίησης Συµπλήρωση κίνησης Έλεγχος δροµολόγησης Συµβολαιογράφος Σχέση µεταξύ υπηρεσιών και µηχανισµών Σύνοψη Bιβλιογραφία... 63

7 EPIEXOMENA 7 º π 3 AÚ ÈÙÂÎÙÔÓÈÎ AÛÊ ÏÂÈ Internet Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις To µοντέλο του Internet To επίπεδο προσπέλασης δικτύου Tο επίπεδο Internet To επίπεδο µεταφοράς To επίπεδο εφαρµογής Πρωτόκολλα ασφάλειας επιπέδου Internet Tα πρώτα πρωτόκολλα H οµάδα εργασίας IPSEC της Internet Engineering Task Force Eπισκόπηση της αρχιτεκτονικής Πρωτόκολλα ασφάλειας επιπέδου µεταφοράς Tα πρώτα πρωτόκολλα Το πρωτόκολλο Secure Shell Το πρωτόκολλο SSL/TLS Σύνοψη Bιβλιογραφία K º π 4 AÛÊ ÏÂÈ ÛÙÔ Eapple appleâ Ô EÊ ÚÌÔÁ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Telnet Secure RPC Authentication Secure Telnet Hλεκτρονικό ταχυδροµείο Privacy enhanced mail

8 8 A º π π Àø Pretty good privacy S/MIME Συναλλαγές To πρωτόκολλο S HTTP Aρχιτεκτονική επέκτασης ασφάλειας Aσφάλεια κινητού κώδικα Aσφάλεια Java Aνωνυµία και ιδιωτική ζωή Προστασία πνευµατικής ιδιοκτησίας Συστήµατα ηλεκτρονικών πληρωµών Hλεκτρονικό χρήµα Hλεκτρονικές επιταγές Πληρωµές µε πιστωτικές κάρτες Mικροπληρωµές Aσφάλεια EDI ιαχείριση δικτύων Πρότυπα διαχείρισης OSI Πρότυπα διαχείρισης Internet Σύνοψη Bιβλιογραφία K º π 5 ÂÓÈÎÂ Ì Ó ÛÙ Ì Ù AÛÊ ÏÂÈ EÊ ÚÌÔÁÒÓ Σκοπός, Προσδοκώµενα αποτελέσµατα, Έννοιες κλειδιά, Eισαγωγικές παρατηρήσεις Συστήµατα αυθεντικοποίησης σε κατανεµηµένα υπολογιστικά περιβάλλοντα Kerberos NetSP

9 EPIEXOMENA SPX TESS SESAME ικτυακά αναχώµατα Xαρακτηριστικά αναχωµάτων Tύποι αναχωµάτων ιαµορφώσεις αναχωµάτων Συστήµατα αναγνώρισης εισβολών Mοντέλα ανίχνευσης εισβολών Tεχνολογίες συστηµάτων ανίχνευσης εισβολών Tα χαρακτηριστικά ενός καλού συστήµατος ανίχνευσης εισβολών Σύνοψη Bιβλιογραφία Eπίλογος Απαντήσεις ασκήσεων αυτοαξιολόγησης Aπαντήσεις δραστηριοτήτων Bιβλιογραφικές προτάσεις Γλωσσάριο

10

11 ÚfiÏÔÁÔ Άρχισα να ασχολούµαι ερευνητικά µε το αντικείµενο της ασφάλειας δικτύων γύρω στο 1995, εξετάζοντας θέµατα κυρίως σχετικά µε ταυτοποίηση και αυθεντικοποίηση σε κατανεµηµένα περιβάλλοντα και σχετικά µε τις υποδοµές δηµόσιου κλειδιού. Το καλοκαίρι του 1996 ανέλαβα καθήκοντα Προέδρου της Οµάδας Εργασίας για την Ασφάλεια ικτύων (Working Group 11.4 on Network Security) της Τεχνικής Επιτροπής 11 για την Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστηµάτων (Technical Committee 11, Information and Communication Systems Security) της ιεθνούς Οµοσπονδίας Επεξεργασίας Πληροφοριών (International Federation for Information Processing). Στην οµάδα εργασίας συµµετείχαν όλα τα σήµερα γνωστά ονόµατα στο χώρο ασφάλειας δικτύων, όπως ο Gene Spafford (προηγούµενος Πρόεδρος), o Rolf Oppliger, o Gene Schultz κ.ά. Έκπληξη, λοιπόν, µεγάλη µού προξένησε το γεγονός ότι ένα από τα πρώτα ζητήµατα που τέθηκαν προς συζήτηση στην οµάδα εργασίας ήταν το «τι ακριβώς είναι και τι δεν είναι η ασφάλεια δικτύων». Σήµερα, παρ όλες τις ραγδαίες εξελίξεις στον τοµέα, φοβάµαι ότι το ερώτηµα εκείνο παραµένει µερικώς τουλάχιστον αναπάντητο. Το βιβλίο που κρατάτε αντικατοπτρίζει τη δική µου άποψη (και άλλων φυσικά) για το τι είναι και πώς πρέπει να παρουσιάζεται στους φοιτητές η ασφάλεια δικτύων. Η δοµή αυτή της ύλης και ο τρόπος παρουσίασής της µε βάση τα επίπεδα του µοντέλου αναφοράς OSI έχει δοκιµαστεί διδακτικά από µένα µόνο σε εντατικά µαθήµατα µεταπτυχιακού επιπέδου, µε πολύ καλά αποτελέσµατα. Ελπίζω η επιλογή αυτή να δικαιωθεί και από τη χρήση της στο βιβλίο αυτό του ΕΑΠ. Το βιβλίο είναι δοµηµένο σε πέντε κεφάλαια. Στο πρώτο, εισαγωγικό, κεφάλαιο θεµελιώνεται η ανάγκη για προστασία των πληροφοριών που διακινούνται µέσω δικτύων, καθώς και των ίδιων των δικτύων. Η προσέγγιση είναι διπλή: Από τη µια, παρουσιάζεται η έκταση και η σηµασία της ύπαρξης δικτύων στη σηµερινή κοινωνία και, από την άλλη, γνωστά παραδείγµατα επιθέσεων κατά πληροφοριακών συστηµάτων που εκδηλώθηκαν µέσω δικτύων. Ως εισαγωγικό κεφάλαιο θεωρείται µικρής δυσκολίας. Το πρώτο µέρος του δεύτερου κεφαλαίου έχει σκοπό να θυµίσει µάλλον, παρά να διδάξει, στον αναγνώστη µερικές βασικές αρχές δικτύων, ώστε να γίνει πιο εύκολη η παρακολούθηση του υπόλοιπου βιβλίου. Το δεύτερο µέρος του κεφαλαίου εισάγει τον αναγνώστη στην ασφάλεια δικτύων σύµφωνα µε το µοντέλο αναφοράς OSI. Θα χαρακτήριζα και το κεφάλαιο αυτό ως µικρής ή το πολύ µέτριας δυσκολίας. Ωστόσο, προσοχή πρέπει να δοθεί στο να κάνει κτήµα του ο αναγνώστης τις νέες έννοιες που παρουσιάζονται στο κεφάλαιο αυτό.

12 12 A º π π Àø Μετά τη συζήτηση του µοντέλου OSI ακολουθεί, στο τρίτο κεφάλαιο, η γνωριµία µας µε τα πρωτόκολλα ασφάλειας των επιπέδων Internet και µεταφοράς του µοντέλου Internet. Η ύλη του κεφαλαίου είναι τεχνική, αλλά όχι ιδιαίτερα δύσκολη. Στο τέταρτο κεφάλαιο αναφερόµαστε σε πρωτόκολλα και συστήµατα ασφάλειας στο επίπεδο εφαρµογής. Το κεφάλαιο περιγράφει πρωτόκολλα ασφαλούς προσπέλασης τερµατικού από απόσταση, πρωτόκολλα ασφαλούς ηλεκτρονικού ταχυδροµείου, πρωτόκολλα ασφαλών συναλλαγών WWW και συναφή θέµατα, συστήµατα ηλεκτρονικών πληρωµών, ασφαλείς συναλλαγές EDI και, τέλος, συστήµατα ασφαλούς διαχείρισης δικτύων. Η έκταση του κεφαλαίου αυτού είναι ασυνήθιστα µεγάλη. Επειδή όµως τα θέµατα που προσεγγίζουµε είναι πολύ διαφορετικά µεταξύ τους, δεν είναι καθόλου απαραίτητο να µελετήσετε όλο το κεφάλαιο µε µιας. Αντίθετα, θα συνιστούσα η µελέτη σας να γίνει ανά ενότητα. Στο πέµπτο και τελευταίο κεφάλαιο ασχολούµαστε µε τη δεύτερη επιλογή παροχής υπηρεσιών ασφάλειας στο επίπεδο εφαρµογής, δηλαδή µε τη χρήση γενικευµένων συστηµάτων ασφάλειας. Γνωρίζουµε τρεις κατηγορίες τέτοιων γενικευµένων συστη- µάτων: τα συστήµατα αυθεντικοποίησης σε κατανεµηµένα υπολογιστικά περιβάλλοντα, τα δικτυακά ηλεκτρονικά αναχώµατα και τα συστήµατα ανίχνευσης εισβολών. Τα θέµατα αυτά είναι από τα πιο δηµοφιλή στο χώρο της ασφάλειας δικτύων και αποτελούν αντικείµενα έντονης ερευνητικής δραστηριότητας. Έτσι, ο βαθµός δυσκολίας τους είναι κάπως αυξηµένος. Πάντα µού ήταν δύσκολο να γράψω το κοµµάτι εκείνο του προλόγου στο οποίο οι συγγραφείς συνηθίζεται να ευχαριστούν αυτούς που τους βοήθησαν στο συγγραφικό τους έργο. Η δυσκολία µου πηγάζει από το ότι µου είναι σχεδόν αδύνατον να τους εντοπίσω όλους, αφού το βιβλίο που κρατάτε στα χέρια σας είναι µεν το αποτέλεσµα της δικής µου συγγραφικής δουλειάς, αλλά αυτή είναι, µε τη σειρά της, το αποτέλεσµα µιας µακρόχρονης διαδικασίας καθορισµού και σχηµατισµού της γνώσης µου, της σκέψης µου αλλά και της γενικότερης προσωπικότητάς µου, διαδικασία στην οποία έχουν συντελέσει άλλος πολύ άλλος λιγότερο πάρα πολλοί άνθρωποι. Αφού όµως δεν είναι δυνατόν να τους ευχαριστήσω όλους αυτούς, θα περιοριστώ να ευχαριστήσω την Οµάδα Εκτέλεσης Έργου του ΕΑΠ για τη µεθοδική τους δουλειά και τις εύστοχες παρατηρήσεις και υποδείξεις τους κατά τη συγγραφή του βιβλίου αυτού. Επίσης, ευχαριστώ όλους τους φοιτητές της σειράς των θερινών σχολείων Intensive Programme on Information and Communication Systems Security (Βιέννη 1998, Χίος 1999, Στοκχόλµη 2000) για την αποφασιστική τους συµβολή στη διαµόρφωση του τρόπου παρουσίασης του υλικού του βιβλίου. Το συνεργάτη µου, υποψήφιο διδάκτορα του Τµήµατος Πληροφορικής του Οικονοµικού Πανεπιστηµίου Αθηνών και

13 PO O O 13 ελεγκτή της Ανεξάρτητης Αρχής Προστασίας Προσωπικών εδοµένων, Κώστα Μουλίνο, που ανέλαβε να βρει ενδεικτικές απαντήσεις στις δραστηριότητες του βιβλίου και µάλιστα σε πολύ περιορισµένο χρόνο ευχαριστώ ιδιαίτερα. Τέλος, και ίσως πιο πολύ απ όλους, ευχαριστώ τη γυναίκα µου Άννα και τα παιδιά µου, Κωνσταντίνο και Ελισάβετ Μαρία, που δε διαµαρτυρήθηκαν όσο θα έπρεπε και όσο θα ήθελαν όταν έγραφα το βιβλίο αυτό αντί ν ασχολούµαι µαζί τους. Σας παραδίνω το βιβλίο µε την παράκληση να το κρίνετε όσο αυστηρά νοµίζετε, αλλά πάντα επιστηµονικά και αντικειµενικά. Θα είναι χαρά µου να γίνω κοινωνός της όποιας κριτικής σας θετικής ή αρνητικής. Καλή µελέτη! Σωκράτης Κ. Κάτσικας Oκτώβριος 2000

14

15 H AÓ ÁÎË ÚÔÛÙ Û ÙˆÓ ÈÎÙ ˆÓ ÎÔapplefi Το εισαγωγικό αυτό κεφάλαιο έχει σκοπό να θεµελιώσει την ανάγκη για προστασία των πληροφοριών που διακινούνται µέσω δικτύων, καθώς και των ίδιων των δικτύων. 1 º π ÚÔÛ ÔÎÒÌÂÓ appleôùâï ÛÌ Ù Όταν θα έχετε τελειώσει τη µελέτη του κεφαλαίου αυτού, θα µπορείτε να: αναφέρετε έξι τουλάχιστον λόγους για τους οποίους η ύπαρξη δικτύων είναι σηµαντική για τη σύγχρονη κοινωνία αναφέρετε δύο λόγους για τους οποίους η προστασία των πληροφοριών που διατρέχουν τα δίκτυα, όπως και η προστασία των ίδιων των δικτύων είναι απολύτως απαραίτητη περιγράψετε πέντε γνωστές επιθέσεις που εκδηλώθηκαν µέσω δικτύων εναντίον πληροφοριακών συστηµάτων εξηγήσετε τι πραγµατεύεται η επιστηµονική περιοχή της ασφάλειας δικτύων ŒÓÓÔÈ ÎÏÂÈ È δίκτυα, ασφάλεια, προστασία, επιθέσεις ÈÛ ÁˆÁÈÎ apple Ú ÙËÚ ÛÂÈ Προβλήµατα και προτάσεις για λύσεις σε σχέση µε την ασφάλεια πληροφοριών και την προστασία της ιδιωτικής ζωής εµφανίζονται όλο και συχνότερα και απασχολούν κυβερνήσεις, επιχειρήσεις, ερευνητές, και γενικότερα το κοινό. Μέχρι πρόσφατα, ζητή- µατα όπως µέτρα κατά των παρεισφρήσεων σε δίκτυα υπολογιστών ή τα συγκριτικά πλεονεκτήµατα και µειονεκτήµατα συγκεκριµένων τεχνικών κρυπτογράφησης προ-

16 16 KEºA AIO 1: H A ƒ π ø π Àø σέλκυαν το ενδιαφέρον µόνο των ειδικών. Ωστόσο, η κατάσταση έχει αλλάξει άρδην τα τελευταία χρόνια, αφού σχόλια για αντιφατικά πρότυπα κρυπτογράφησης, φαινό- µενα υποκλοπής συνθηµατικών και παρεισφρήσεων στο διαδίκτυο και ρεπορτάζ για την καταδίωξη και σύλληψη διάσηµων «κακοποιών του κυβερνοχώρου» βρίσκουν το δρόµο τους στις πρώτες σελίδες των εφηµερίδων. Η αυξηµένη σηµασία και προσοχή που δίνεται στην ασφάλεια πληροφοριών και την προστασία της ιδιωτικής ζωής αντικατοπτρίζουν το πλήθος των θεσµικών, κοινωνικών και τεχνολογικών αλλαγών, που έκαναν τις τεχνολογίες πληροφοριών και επικοινωνιών κρίσιµες για την καθηµερινή µας ζωή. Βρισκόµαστε στη φάση της µετάπτωσης σε µια κοινωνία που γίνεται σιγά σιγά εξαρτηµένη από την πληροφορία και τη δικτύωση. Στο κεφάλαιο αυτό ακολουθούµε µια διπλή προσέγγιση: Από τη µια, παρουσιάζεται η έκταση και η σηµασία της ύπαρξης δικτύων στη σηµερινή κοινωνία και, από την άλλη, εκθέτονται γνωστά παραδείγµατα επιθέσεων κατά πληροφοριακών συστηµάτων που εκδηλώθηκαν µέσω δικτύων. Οι δύο ενότητες του κεφαλαίου αντιστοιχούν στις δύο κατευθύνσεις της προσέγγισης αυτής. Η τρίτη, και τελευταία, ενότητα του κεφαλαίου προσδιορίζει το αντικείµενο που θα µας απασχολήσει στο βιβλίο αυτό.

17 1.1 H ª π ø π Àø H ËÌ Û ÙˆÓ ÈÎÙ ˆÓ ÈÛ ÁˆÁÈÎ apple Ú ÙËÚ ÛÂÈ Η χρήση των δικτύων από επιχειρήσεις συνεχίζει να αυξάνεται και επενδύσεις σε τεχνολογίες ηλεκτρονικού εµπορίου και ηλεκτρονικού χρήµατος υλοποιούνται καθη- µερινά και µε ταχύτατα αυξανόµενους ρυθµούς. Η δηµόσια διοίκηση συνεχίζει να επεκτείνει τόσο το πεδίο εφαρµογής όσο και το µέγεθος των δικτυακών της συνδέσεων. Επιπλέον, οι τεχνολογίες πληροφοριών και επικοινωνιών εµφανίζονται απαρέγκλιτα σε οποιοδήποτε σχέδιο βελτίωσης της αποτελεσµατικότητας της λειτουργίας της δηµόσιας διοίκησης ÔÈÓˆÓ ÙË appleïëúôêôú Το Συµβούλιο της Ευρώπης, στη συνεδρίασή του το εκέµβριο του 1993 στις Βρυξέλλες, αποφάσισε να αναθέσει σε µια επιτροπή υψηλού επιπέδου, µε πρόεδρο τον Martin Bangemann, επίτροπο της Ευρωπαϊκής Επιτροπής, το έργο της σύνταξης µιας έκθεσης µε θέµα «Ευρώπη και η Παγκόσµια Κοινωνία της Πληροφορίας. Συστάσεις προς το Συµβούλιο της Ευρώπης». Η έκθεση χρησιµοποιήθηκε ως βάση της συζήτησης στη Σύνοδο της Κέρκυρας (24 25 Ιουνίου 1994). Στην έκθεση, γνωστή πια ως «Έκθεση Bangemann», αναφέρονται τα εξής: «Σ ολόκληρο τον κόσµο, οι τεχνολογίες πληροφοριών και επικοινωνιών προκαλούν µια νέα βιοµηχανική επανάσταση, ήδη εξίσου σηµαντική και εκτεταµένη όσο τουλάχιστον και οι προηγούµενες. Είναι µια επανάσταση βασισµένη στην πληροφορία, που αντιπροσωπεύει αυτή καθαυτή την ανθρώπινη γνώση. Η τεχνολογική πρόοδος µας επιτρέπει τώρα να επεξεργαζόµαστε, να αποθηκεύουµε, να ανακτούµε και να µεταδίδουµε πληροφορία σε οποιαδήποτε µορφή θέλουµε: προφορική, γραπτή ή οπτική, χωρίς περιορισµούς απόστασης, χρόνου και όγκου. Η επανάσταση αυτή προσθέτει τεράστιες νέες δυνατότητες στην ανθρώπινη νοηµοσύνη και µεταβάλλει τον τρόπο που ζούµε και που εργαζόµαστε». Από τότε, ο όρος «Κοινωνία της Πληροφορίας» µπήκε για τα καλά στο καθηµερινό λεξιλόγιο εκατοµµυρίων Ευρωπαίων. Αλλά τι ακριβώς είναι η Κοινωνία της Πληροφορίας; Στην ουσία αποτελείται από τρία επάλληλα και πολύ στενά συνδεµένα στρώµατα τεχνολογίας: ένα βασικό δίκτυο επικοινωνιών, ένα σύνολο υπηρεσιών γενικής φύσης (π.χ. ηλεκτρονικό ταχυδροµείο, αλληλεπιδραστικό video κτλ.) εφαρµογές, που µπορούν να κυµαίνονται από πραγµατοποίηση τραπεζικών εργασιών από απόσταση (telebanking) µέχρι ιδεατή ιατρική (virtual medicine).

18 18 KEºA AIO 1: H A ƒ π ø π Àø Η εξέλιξη αυτή έχει δυναµικό πολύ µεγαλύτερο απ ό,τι µια αποκλειστικά τεχνολογικής φύσης καινοτοµία, όπως, για παράδειγµα, η συσκευή τηλεµοιοτυπίας (fax). Όταν, σύντοµα στο µέλλον, θα δούµε τους οργανισµούς τηλεπικοινωνιών να µεταδίδουν τηλεοπτικά σήµατα και τις εταιρείες καλωδιακής τηλεόρασης να προσφέρουν υπηρεσίες τηλεφωνίας, τα όρια µεταξύ µερικών από τους µεγαλύτερους τοµείς παροχής υπηρεσιών θα αρχίσουν να γίνονται δυσδιάκριτα. Παράλληλα, η Κοινωνία της Πληροφορίας θα βοηθήσει στην άρση της αποµόνωσης στην περιφέρεια, θα διευκολύνει την ένταξη των ατόµων µε ειδικές ανάγκες στο κοινωνικό γίγνεσθαι, θα ενισχύσει την ανάνηψη περιοχών που βρίσκονται σε οικονοµική ύφεση και θα βελτιώσει την αποτελεσµατικότητα των µεταφορών, των υπηρεσιών υγείας, της δηµόσιας διοίκησης, ενώ θα µεταβάλει επαναστατικά τους τρόπους µε τους οποίους οι άνθρωποι επικοινωνούν και εκφράζουν τη δηµιουργικότητα και την πολιτιστική τους ταυτότητα. Η πιο συνηθισµένη και γνωστή έκφραση της Κοινωνίας των Πληροφοριών (ή υπερλεωφόρου πληροφοριών, όπως θέλουν το όρο οι Αµερικανοί, αφαιρώντας ή αγνοώντας την κοινωνική διάσταση του φαινοµένου) είναι το διαδίκτυο (Internet). Το διαδίκτυο γνωρίζει εκρηκτική εξάπλωση και ανάπτυξη τα τελευταία χρόνια. Στο Σχήµα 1.1 µπορείτε να δείτε τα ποσοστά αύξησης των κόµβων που είναι συνδεµένοι στο διαδίκτυο, ανά γεωγραφική περιοχή, µεταξύ των ετών 1995 και Στο διαδίκτυο είναι τώρα συνδεµένοι υπολογιστές που βρίσκονται σε περισσότερες από 85 χώρες, ενώ εκτιµάται ότι ο αριθ- µός των ατόµων που συνδέονται σ αυτό είναι (Σεπτέµβριος 1997) γύρω στα , από τα οποία τα στη Βόρεια Αµερική, τα στην Ευρώπη και τα στην Ασία. Παράλληλα µε την αριθµητική αύξηση των ανθρώπων που συµ- µετέχουν σ αυτή την έκφραση της Κοινωνίας της Πληροφορίας, ταχύτατα αυξανόµενη είναι και η διαθέσιµη ποικιλία πηγών πληροφορίας και υπηρεσιών. Aµερική 181 HΠA Eυρώπη Bρετανία Γερµανία 56 Ì 1.1 Ποσοστά αύξησης κόµβων συνδεµένων στο διαδίκτυο. Aσία-Eιρηνικός Ωκεανός 321 Iαπωνία

19 1.1 H ª π ø π Àø 19 Ποιες είναι οι προοπτικές για το ορατό µέλλον; Οι παροχείς υπηρεσιών διαδικτύου πρέπει να είναι σε θέση το 2003 να παρέχουν σύνδεση στο διαδίκτυο σε 200 εκατοµµύρια οικιακούς καταναλωτές, οι οποίοι θα χρειάζονται εύρος ζώνης 8 Mbps για να µπορέσουν να παρακολουθήσουν, µέσω 72 κατοπτρικών εγκαταστάσεων (mirror sites), σε όλη την υδρόγειο, την παγκόσµια πρεµιέρα µιας ταινίας, µε χρέωση, σε 139 χώρες και σε διάστηµα 12 ωρών. Η τεράστια αυτή διασυνδεσιµότητα, σε συνδυασµό µε την αυξανόµενη εξάρτηση τόσο του δηµόσιου όσο και του ιδιωτικού τοµέα από την πληροφορία και τα δίκτυα, οδηγεί σε µνηµειώδεις κινδύνους. Σχεδόν οποιοσδήποτε µπορεί να φτάσει στο δίκτυο, και σχεδόν οποιοσδήποτε µπορεί να παρεισφρήσει σ αυτό. Έτσι, λοιπόν, γίνεται επιτακτική η ανάγκη για ύπαρξη ισχυρών µέτρων εξασφάλισης της πληροφορίας και προστασίας της ιδιωτικής ζωής. Ú ÛÙËÚÈfiÙËÙ 1.1 Μελετήστε την έκθεση της επιτροπής Bangemann. Γράψτε µια έκθεση για τις απαιτήσεις ασφάλειας που προκύπτουν από τα διαλαµβανόµενα σ αυτήν TÔ HÏÂÎÙÚÔÓÈÎfi ÂÌapplefiÚÈÔ Από τη σκοπιά των επιχειρήσεων, το δίκτυο χωρίζεται σε τρεις επιχειρηµατικές περιοχές: το εσωτερικό δίκτυο (intranet), το εξωτερικό δίκτυο (extranet) και το διαδίκτυο (internet). Αυτά διακρίνονται ως εξής: Στο περιβάλλον του εσωτερικού δικτύου όλοι οι χρήστες βρίσκονται κάτω από τον έλεγχο ενός και µοναδικού οργανισµού. Οι κόµβοι ανήκουν σε υπαλλήλους ή υπεργολάβους, που όλοι τους έχουν ελεγχόµενες συµβατικές σχέσεις µε το τελικό σύστηµα (host). Στο περιβάλλον του εξωτερικού δικτύου οι χρήστες επεκτείνονται και περιλαµβάνουν τους πελάτες, τους προµηθευτές και τους συνεταίρους, µε τους οποίους ο ιδιοκτήτης του τελικού συστήµατος έχει συµβατική σχέση. Στο περιβάλλον του διαδικτύου οι χρήστες µπορούν να είναι εκτός του οργανισµού και να περιλαµβάνουν πιθανούς πελάτες, πιθανούς προµηθευτές, πιθανούς συνεταίρους και ανταγωνιστές, µε τους οποίους δεν υφίσταται καµιά συµβατική σχέση. Οι ορισµοί αυτοί δε σχετίζονται µε τη γεωγραφική θέση των χρηστών και τα όρια ανάµεσα στις περιοχές είναι µάλλον ασαφή και ταυτόχρονα πολύπλοκα. Μια πρόσφατη (καλοκαίρι 1998) έρευνα σε 83 µεγάλες (µε ετήσιο τζίρο µεγαλύτε-

20 20 KEºA AIO 1: H A ƒ π ø π Àø ρο από 1 δις δολάρια) επιχειρήσεις εγκατεστηµένες στην Ευρώπη και στην Αµερική έδειξε ότι στη συντριπτική τους πλειοψηφία (92%) χρησιµοποιούν υπηρεσίες ηλεκτρονικού ταχυδροµείου, ότι σε πολύ µεγάλο ποσοστό (72%) έχουν σελίδα στον παγκόσµιο ιστό και ότι πάνω από τις µισές (58%) διαθέτουν εσωτερικό δίκτυο διασύνδεσης των υπολογιστών τους. Οι περισσότερες από τις εταιρείες αυτές σχεδιάζουν να χρησιµοποιήσουν εξελιγµένες µορφές ηλεκτρονικού εµπορίου µέσα στην επόµενη τριετία, ενώ το 85% θεωρεί ότι τέτοιες πρωτοβουλίες έχουν πρωτεύουσα σηµασία. Οι πιο δηµοφιλείς µελλοντικοί στόχοι είναι να χρησιµοποιήσουν εξωτερικά δίκτυα για να διασυνδεθούν µε τους προµηθευτές τους (προτεραιότητα για το 83% των εταιρειών), να προσελκύσουν πελάτες πιο αποτελεσµατικά µέσω εξελιγ- µένων συστηµάτων (προτεραιότητα για το 79% των εταιρειών) και να διεκπεραιώνουν συναλλαγές µέσω του διαδικτύου (προτεραιότητα για το 83% των εταιρειών). Μια άλλη πρόσφατη έρευνα µεταξύ των 500 µεγαλύτερων ευρωπαϊκών εταιρειών έδειξε ότι όλες χρησιµοποιούν ηλεκτρονικό ταχυδροµείο, 94% χρησιµοποιεί υπηρεσίες ηλεκτρονικού εµπορίου, 91% συµβουλεύεται τον παγκόσµιο ιστό, 38% χρησιµοποιεί ή παρέχει τηλεφωνικές υπηρεσίες πάνω από το διαδίκτυο και 34% χρησι- µοποιεί ή παρέχει εικονοτηλεφωνικές υπηρεσίες πάνω από το διαδίκτυο. Οι προοπτικές για το ορατό µέλλον είναι να αυξηθεί ακόµη περισσότερο η επιχειρηµατική χρήση των δικτύων. Η συνολική αξία των συναλλαγών που θα πραγµατοποιούνται ηλεκτρονικά το έτος 2000 στις ΗΠΑ προβλέπεται να είναι ανάµεσα στα και στα δολάρια, µε µέση ετήσια αξία ανά πελάτη δολάρια, µέση αξία ανά συναλλαγή δολάρια, ενώ προβλέπεται ότι το 60% 70% των συνολικά προσφερόµενων αγαθών θα είναι διαθέσιµα προς πώληση στο δίκτυο. Όσα όµως επιχειρηµατικά οφέλη φαίνεται να παρέχει η χρήση των δικτύων αναιρούνται, αν η χρήση αυτή δεν είναι ασφαλής. Είναι φανερό ότι ένας πωλητής που ταξιδεύει θα πρέπει να µπορεί να στείλει ένα µήνυµα ηλεκτρονικού ταχυδροµείου στη βάση του χωρίς να παραβιαστεί η εµπιστευτικότητα του µηνύµατος. Πώς µπορεί να ξέρει ο χρήστης που συνδέεται µε τη σελίδα µιας επιχείρησης στον παγκόσµιο ιστό ότι πράγµατι η σελίδα ανήκει στην εταιρεία; Αν κάποια σελίδα είναι σφραγισµένη, πώς µπορεί να ξέρει ο χρήστης ότι η σφραγίδα είναι αυθεντική και όχι αντίγραφο σφραγίδας από άλλη σελίδα; Με άλλα λόγια, η διαφύλαξη της ακεραιότητας της πληροφορίας είναι επίσης σηµαντική. Για να γίνει αντιληπτή η οικονοµική σηµασία της διατήρησης της διαθεσιµότητας της πληροφορίας, αρκεί να αναφέρουµε ότι ένα τρις δολάρια διακινούνται µέσω τραπεζών ηλεκτρονικά κάθε χρόνο. Αυτό σηµαίνει ότι για κάθε µέρα που το δίκτυο δεν είναι διαθέσιµο η απώλεια σε

21 1.1 H ª π ø π Àø 21 τόκους υπολογίζεται σε 30 εκατοµµύρια δολάρια. Η θέση αυτή επιβεβαιώνεται και από τα αποτελέσµατα µιας έρευνας που έγινε στις ΗΠΑ σχετικά µε τα προβλήµατα στην ανάπτυξη του διαδικτύου, όπως τα αντιλαµβάνονται οι επιχειρήσεις. Μπορείτε να δείτε τα αποτελέσµατα αυτά στο Σχήµα 1.2, από το οποίο είναι φανερό ότι τα προβλήµατα ασφάλειας αποτελούν, κατά την άποψη των επιχειρήσεων, το σηµαντικότερο εµπόδιο στην ανάπτυξη του διαδικτύου Προβλήµατα ασφάλειας Προβλήµατα ποιότητας υσκολία χρήσης Πρόβληµα δικτύου Άλλα προβλήµατα Ì 1.2 Eµπόδια στην ανάπτυξη του διαδικτύου. ÕÛÎËÛË ÙÔ ÍÈÔÏfiÁËÛË 1.1 Χαρακτηρίστε τις παρακάτω προτάσεις ως σωστές ή λάθος: ΣΩΣΤΟ ΛΑΘΟΣ 1. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή βοηθούν στην άρση της αποµόνωσης. 2. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή διευκολύνουν την ένταξη των ατόµων µε ειδικές ανάγκες στο κοινωνικό γίγνεσθαι. 3. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή κάνουν τα όρια µεταξύ µερικών από τους µεγαλύτερους τοµείς παροχής υπηρεσιών δυσδιάκριτα. 4. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή ενισχύουν την ανάνηψη περιοχών που βρίσκονται σε ύφεση. 5. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή η δηµόσια διοίκηση εξαρτάται όλο και πιο πολύ απ αυτά.

22 22 KEºA AIO 1: H A ƒ π ø π Àø 6. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή βελτιώνουν την αποτελεσµατικότητα της δηµόσιας διοίκησης. 7. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή διευκολύνουν την επικοινωνία µεταξύ των ανθρώπων και την έκφραση της δηµιουργικότητας και της πολιτιστικής τους ταυτότητας. 8. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή πάρα πολλοί κόµβοι είναι συνδεδεµένοι σ αυτά και πάρα πολλοί χρήστες τα χρησιµοποιούν. 9. Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή η χρήση τους παρέχει οικονοµικά οφέλη. 10.Τα δίκτυα είναι σηµαντικά για τη σύγχρονη κοινωνία, επειδή επιτρέπουν την πώληση αγαθών. ÕÛÎËÛË ÙÔ ÍÈÔÏfiÁËÛË 1.2 Χαρακτηρίστε τις παρακάτω προτάσεις ως σωστές ή λάθος: ΣΩΣΤΟ ΛΑΘΟΣ 1. Οι πληροφορίες που διατρέχουν τα δίκτυα, καθώς και τα ίδια τα δίκτυα, πρέπει να προστατευτούν, επειδή οι επιχειρήσεις πιστεύουν ότι τα προβλήµατα ασφάλειας είναι το σηµαντικότερο εµπόδιο στην ανάπτυξη του διαδικτύου. 2. Οι πληροφορίες που διατρέχουν τα δίκτυα, καθώς και τα ίδια τα δίκτυα, πρέπει να προστατευτούν, επειδή η τεράστια σηµερινή διασυνδεσιµότητα και η αυξανόµενη εξάρτηση από την πληροφορία και τα δίκτυα οδηγεί σε µνηµειώδεις κινδύνους. 3. Οι πληροφορίες που διατρέχουν τα δίκτυα, καθώς και τα ίδια τα δίκτυα, πρέπει να προστατευτούν, επειδή η έλλειψη εξασφάλισης µπορεί να οδηγήσει σε σηµαντικές οικονοµικές απώλειες.

23 1.2 E π π À ª π π ƒπ Οι πληροφορίες που διατρέχουν τα δίκτυα, καθώς και τα ίδια τα δίκτυα, πρέπει να προστατευτούν, επειδή η πολυπλοκότητά τους είναι µεγάλη. 5. Οι πληροφορίες που διατρέχουν τα δίκτυα, καθώς και τα ίδια τα δίκτυα, πρέπει να προστατευτούν, επειδή η πρόσβαση σ αυτά είναι εφικτή για τον καθένα. Ú ÛÙËÚÈfiÙËÙ 1.2 Φανταστείτε ότι είστε ο υπεύθυνος πληροφοριακών συστηµάτων µιας επιχείρησης. Ο διευθυντής σας σκέφτεται να εισαγάγει διαδικασίες ηλεκτρονικού εµπορίου στην εταιρεία. Γράψτε µια έκθεση στην οποία θα του επισηµαίνετε τα προβλήµατα ασφάλειας που δηµιουργεί αυτή η απόφαση. Προσέξτε, όµως, ότι δε θα πρέπει να τον αποθαρρύνετε να προχωρήσει. Η σωστή τακτική είναι να προχωρήσει µεν, αλλά έχοντας υπόψη τους κινδύνους και, αν είναι δυνατόν, και τα µέτρα µείωσής τους. 1.2 EappleÈı ÛÂÈ appleô ÌÂÈÓ Ó ÛÙËÓ ÈÛÙÔÚ ÈÛ ÁˆÁÈÎ apple Ú ÙËÚ ÛÂÈ Στην ενότητα αυτή παρουσιάζουµε σύντοµα πέντε πολύ γνωστές και καλά τεκµηριω- µένες επιθέσεις που εκδηλώθηκαν εναντίον δικτυωµένων συστηµάτων. Ο λόγος που τις παρουσιάζω δεν είναι, βέβαια, για να ηρωοποιήσω τους πρωταγωνιστές τους. Κάθε άλλο. Θα πρέπει να τονίσω, όσο πιο δυνατά µπορώ, ότι οι παραβιάσεις συστη- µάτων δεν είναι ούτε αστείο ούτε επίδειξη ικανοτήτων. Είναι, απλώς, εγκληµατικές πράξεις και πρέπει να τιµωρούνται ανάλογα. Ο λόγος είναι, πιστεύω, ότι είναι χρήσιµη, πέρα από τη θεωρητική ανάπτυξη της αναγκαιότητας της προστασίας των δικτύων, η υποστήριξη της αναγκαιότητας αυτής και µέσα από την παρουσίαση πραγ- µατικών περιστατικών, µε συγκεκριµένο και απτό αποτέλεσµα. Πέρα απ αυτόν το λόγο, νοµίζω ότι η αναγνώριση των κοινών χαρακτηριστικών των επιθέσεων αυτών είναι χρήσιµη στη σχεδίαση αποτελεσµατικών µεθόδων και µέτρων προστασίας. Αν ενδιαφέρεστε για περισσότερες πληροφορίες γύρω απ αυτό το θέµα, ανατρέξτε στη βιβλιογραφία που δίνεται στο τέλος του κεφαλαίου. Μην παρασυρθείτε όµως σε αναζήτηση «ιστοριών τρόµου»!

24 24 KEºA AIO 1: H A ƒ π ø π Àø O ÏÈÎ ÙÔ È ÈÎÙ Ô Ο έλικας του διαδικτύου (Internet worm) παρουσιάστηκε το Νοέµβριο του Ένας φοιτητής πληροφορικής στο Πανεπιστήµιο Cornell των ΗΠΑ, ο Robert Morris, δηµιούργησε τον κακεντρεχή αυτόν έλικα και τον απελευθέρωσε στο διαδίκτυο. Ο έλικας πρωτοεµφανίστηκε στις 5:00 το απόγευµα της Τετάρτης 2 Νοεµβρίου 1988 στο Πανεπιστήµιο Cornell. Έτρεχε σε συστήµατα που χρησιµοποιούσαν λειτουργικό σύστηµα BSD Unix και αξιοποιούσε αδυναµίες κάποιων βοηθητικών προγραµ- µάτων. Οι αδυναµίες αυτές επέτρεπαν στον έλικα να παρεισφρέει στις µηχανές και να αναπαράγεται, µολύνοντάς τες µε το αντίγραφό του. Κάθε σύστηµα περιέχει έναν πίνακα µε ονόµατα και διευθύνσεις άλλων συστηµάτων µε τα οποία υπάρχει σχέση εµπιστοσύνης. Από τη στιγµή που ο έλικας βρισκόταν σε ένα σύστηµα, µεταδιδόταν και εξαπλωνόταν ψάχνοντας τον πίνακα αυτό ή ψάχνοντας αρχεία προώθησης ταχυδροµείου (αρχεία.forward) ή ψάχνοντας αρχεία µε τα οποία οι ίδιοι οι χρήστες έδιναν εξουσιοδότηση πρόσβασης σε αποµακρυσµένα συστήµατα στον εαυτό τους ή τρέχοντας ένα πρόγραµµα που έβρισκε την κατάσταση των δικτυακών συνδέσεων του συστήµατος. Σε κάθε τελικό σύστηµα που έβρισκε, ο έλικας προσπαθούσε να συνδεθεί ως νόµιµος χρήστης, αφού πρώτα παραβίαζε το αρχείο συνθηµατικών µε ένα κατάλληλο αλλά απλό πρόγραµµα. Εναλλακτικά, ο έλικας αξιοποιούσε µια γνωστή αδυναµία του πρωτοκόλλου finger και µια κερκόπορτα (trapdoor) στην επιλογή debug του προγράµµατος sendmail. Αν πετύχαινε µια οποιαδήποτε απ αυτές τις επιθέσεις, ο έλικας εγκαθιστούσε επικοινωνία µε το διερµηνευτή εντολών του λειτουργικού συστήµατος, του έστελνε ένα µικρό πρόγραµµα εκκίνησης, την εντολή να το εκτελέσει και, στη συνέχεια, αποσυνδεόταν από το σύστηµα. Το πρόγραµµα εκκίνησης καλούσε το γονικό πρόγραµµα, αντέγραφε τον υπόλοιπο κώδικα του έλικα (σε κρυπτογραφηµένη µορφή), αποκρυπτογραφούσε τον έλικα και ζητούσε την εκτέλεσή του. Ο έλικας εξαπλώθηκε στο διαδίκτυο πολύ γρήγορα. Ο κώδικάς του δεν περιείχε λογικές ή χρονικές βόµβες που καταστρέφουν αρχεία. Αντίθετα, η ζηµιά που προκάλεσε ο έλικας σχετίζεται µε τον όγκο επεξεργασίας που προκλήθηκε από την ολοκληρωτική και επιθετική του εξάπλωση, όγκος που τελικά ξεπερνούσε τη συνολική ικανότητα επεξεργασίας του συστήµατος στο οποίο κατάφερνε να συνδεθεί ο έλικας. Ο έλικας µόλυνε δύο χιλιάδες υπολογιστικά συστήµατα και επηρέασε την κανονική διασυνδεσιµότητα του διαδικτύου, όπως και την απόδοσή του και τις σχετικές δραστηριότητες, για κάµποσες µέρες. Καµιά κατηγορία δεν απαγγέλθηκε εναντίον του Robert Morris, ο οποίος ωστόσο παραδέχτηκε ότι έγραψε τον έλικα και τον απελευθέρωσε, αλλά όχι για να προξενήσει ζηµιά.

25 1.2 E π π À ª π π ƒπ TÔ Áfi ÙÔ ÎÔ ÎÔ Πρόκειται για την πιο γνωστή, ίσως, επίθεση εναντίον υπολογιστικού συστήµατος, και ίσως την καλύτερα τεκµηριωµένη. Η επίθεση ή µάλλον οι επιθέσεις έγιναν σε διάστηµα δέκα περίπου µηνών, αρχίζοντας τον Αύγουστο του 1986 και τελειώνοντας τον Ιούνιο του 1987 µε τη σύλληψη των δραστών. Ο αστρονόµος Clifford Stoll είχε µόλις αρχίσει δουλειά ως διαχειριστής ενός µεγάλου υπολογιστικού συστήµατος στα Lawrence Berkeley Labs, όταν του ζητήθηκε να διερευνήσει το γιατί ένας λογαριασµός χρήστη εµφάνιζε µια λογιστική διαφορά 75 cents. Στην πορεία της διερεύνησης αυτής, ο Stoll κατάλαβε ότι είχε να αντιµετωπίσει µια περίπτωση επίθεσης. Η επίθεση δεν εκδηλώθηκε τόσο εναντίον των συστηµάτων του ίδιου του Lawrence Berkeley Labs, όπου δεν εκτελούνταν πολλά απόρρητα στρατιωτικά ερευνητικά προγράµµατα, όσο εναντίον συστηµάτων άλλων οργανισµών, χρησι- µοποιώντας ως απλό εφαλτήριο το Lawrence Berkeley Labs. Το Σχήµα 1.3 δείχνει τα συστήµατα που παραβιάστηκαν από τους εισβολείς αυτούς και τις µεταξύ τους δικτυακές συνδέσεις. Η µέθοδος παραβίασης των συστηµάτων ήταν πάντα η ίδια: σύνδεση µέσω λογαριασµού νόµιµου χρήστη µε παραβιασµένο συνθηµατικό και, στη συνέχεια, απόκτηση δικαιωµάτων υπερχρήστη µε τοποθέτηση ενός ούρειου Ίππου. Μέσα στους επόµενους δέκα µήνες, ο Stoll και οι συνεργάτες του παρακολούθησαν τους επιτιθέµενους, τους παρουσίασαν δολώµατα και, τελικά, τους παγίδεψαν. Η παγίδα οδήγησε στη σύλληψη, στην απαγγελία κατηγορίας για κατασκοπεία εναντίον πέντε ατόµων από τη υτική (τότε) Γερµανία (Markus Hess, Hans Huebner, Karl Koch, Dirk Bresinsky, Peter Carl) και την καταδίκη τριών (Markus Hess, Dirk Bresinsky, Peter Carl) σε ποινές φυλάκισης µηνών και πρόστιµα ŒÓ applefiáâ Ì Ì ÙÔÓ Berferd Η ιστορία αυτή ξεκίνησε στις 7 Ιανουαρίου του 1991, όταν ένας εισβολέας, πιστεύοντας ότι είχε ανακαλύψει την (πολύ γνωστή και δηµοφιλή) αδυναµία ασφάλειας του προγράµµατος sendmail (την ίδια που χρησιµοποιούσε και ο έλικας του διαδικτύου) στη µηχανή που αποτελούσε την πύλη εξόδου προς το διαδίκτυο για την ΑΤ&Τ, προσπάθησε να αποκτήσει αντίγραφο του αρχείου των συνθηµατικών. Ο διαχειριστής του συστήµατος Bill Cheswick, αν και κατάλαβε ότι πρόκειται για επίθεση, του έστειλε ένα τέτοιο αντίγραφο, προκειµένου να παρακολουθήσει και να µελετήσει τη συµπεριφορά του. Για αρκετούς µήνες, ο Cheswick µαζί µε τους συνεργάτες του παρακολουθούσαν εξονυχιστικά τις συνόδους του εισβολέα, προκειµένου να µπορέσουν να εντοπίσουν το ορµητήριό του και να µάθουν τις τεχνικές που χρησιµοποιούσε.

26 26 KEºA AIO 1: H A ƒ π ø π Àø Πανεπιστήµιο Karlsruhe (Γερµανία) Eισβολέας Tηλεφωνικό κέντρο πόλης Aννόβερο (Γερµανία) Ψηφιακό δίκτυο Datex-P Πανεπιστήµιο Bremen (Γερµανία) ιεθνής πύλη Datex-P ιεθνής µεταφορέας Mitre Corp. Maclean, VA (HΠA) ίκτυο X.25 Tymnet Eρευνητικό εργαστήριο Pasadena, CA (HΠA) Nαυπηγείο ΠN,VA (HΠA) Yπεραστικό επιλεγόµενο τηλεφωνικό δίκτυο Kέντρο δεδοµένων ΠN,VA (HΠA) Πανεπιστήµιο Pittsburgh (HΠA) National Laboratory Livermore (HΠA) Lawrence Berkeley Laboratory (HΠA) Eταιρεία άµυνας (HΠA) Πανεπιστήµιο Boston (HΠA) Στρατιωτική βάση (HΠA) Στρατιωτική βάση (Γερµανία) Bάση ΠN (HΠA) Στρατιωτική βάση (Iαπωνία) Eταιρεία δικτύων (HΠA) Πανεπιστήµιο Atlanta (HΠA) Πανεπιστήµιο Ontario (Kαναδάς) Πανεπιστήµιο Pasadena (Kαναδάς) Eταιρεία άµυνας (HΠA) Aεροπορική βάση (HΠA) Στρατιωτική βάση δεδοµένων (HΠA) Eταιρεία H/Y (HΠA) Eταιρεία άµυνας (HΠA) Aεροπορική βάση (Γερµανία) National Computing Center Eταιρεία δικτύων (HΠA) Πανεπιστήµιο Rochester (HΠA) Ì 1.3 Συστήµατα που παραβιάστηκαν κατά την επίθεση του «Aυγού του Kούκου»

27 1.2 E π π À ª π π ƒπ 27 Το συµπέρασµα που τελικά προέκυψε ήταν ότι ο εισβολέας αυτός είχε στη διάθεσή του πολύ χρόνο, ήταν επίµονος και επίσης είχε στη διάθεσή του έναν καλό κατάλογο µε αδυναµίες ασφάλειας, τις οποίες µπορούσε να χρησιµοποιήσει προκειµένου να συνδεθεί µε µια µηχανή. Αξιοποιώντας τις αδυναµίες αυτές, µπορούσε συχνά να παραβιάσει τους λογαριασµούς uucp ή bin ενός συστήµατος και, στη συνέχεια, να αποκτήσει δικαιώµατα υπερχρήστη. Επίσης, όπως διαπιστώθηκε από τις κινήσεις του, έδειχνε ιδιαίτερο ενδιαφέρον για στρατιωτικούς στόχους και για νέες µηχανές, που θα του επέτρεπαν να επεκτείνει το πεδίο δραστηριοτήτων του. Παρ όλο που αποδείξεις δεν υπάρχουν, πιστεύεται γενικά ότι υπεύθυνοι για τις επιθέσεις αυτές ήταν µια οµάδα νεαρών εισβολέων από την Ολλανδία To A & M University ÙÔ Texas Το Πανεπιστήµιο του Texas A&M διαθέτει ένα δίκτυο υπολογιστών στο οποίο βρίσκονται συνδεµένες περίπου µηχανές. Από τους υπολογιστές αυτούς, όσοι έτρεχαν το λειτουργικό σύστηµα Unix αποτέλεσαν αντικείµενο συντονισµένης επίθεσης από εισβολείς τον Αύγουστο του Η επίθεση έγινε αντιληπτή µετά από αναφορά του Ohio Supercomputer Center ότι ένας υπολογιστής του Πανεπιστηµίου A&M του Texas χρησιµοποιήθηκε ως ορµητήριο για την εκδήλωση επίθεσης εναντίον ενός υπολογιστή του Ohio Supercomputer Center. Αποφασίστηκε η παρακολούθηση της εξέλιξης της επίθεσης παρά η παρε- µπόδισή της, η οποία παρακολούθηση αποκάλυψε ότι είχαν παραβιαστεί αρκετές µηχανές του δικτύου του Πανεπιστηµίου A&M του Texas και ότι οι εισβολείς ήταν πολλοί, είχαν αναρτήσει πίνακα ανακοινώσεων (!) σε µια από τις παραβιασµένες µηχανές, µέσω του οποίου επικοινωνούσαν και είχαν καθιερώσει και ιεραρχία ανά- µεσά τους, ανάλογα µε τις γνώσεις και την εµπειρία του καθένα. Η µέθοδος επίθεσης ήταν (και πάλι) η υποκλοπή συνθηµατικών. Ως αντίµετρο στην επίθεση αποφασίστηκε η κατασκευή ενός φίλτρου ελέγχου της εισερχόµενης στο δίκτυο κίνησης. Μετά τη δεύτερη εγκατάσταση του φίλτρου αυτού, δεν παρατηρήθηκε πια επιτυχηµένη επίθεση εναντίον των µηχανών του δικτύου. Ωστόσο, η πρώτη επίθεση είχε ως αποτέλεσµα την καταστροφή αρκετών αρχείων χρηστών και την αποκάλυψη άλλων H appleâú appleùˆûë ÙÔ Kevin Mitnick Ο Kevin Mitnick γεννήθηκε το 1964, στο San Fernando valley, προάστιο του Los Angeles. Ξεκίνησε την καριέρα του στο έγκληµα στις αρχές του 1980, παραβιάζοντας τους κωδικούς πρόσβασης στα συστήµατα της τηλεφωνικής εταιρείας και χρησιµο-

28 28 KEºA AIO 1: H A ƒ π ø π Àø ποιώντας έτσι δωρεάν τηλεφωνικές υπηρεσίες. Συνέχισε τις δραστηριότητές του παραβιάζοντας ένα υπολογιστικό σύστηµα στο Γυµνάσιο Monroe και εισβάλλοντας, από εκεί, στο κεντρικό υπολογιστικό σύστηµα της σχολικής περιφέρειας του Los Angeles. Στα µέσα του 1981, µαζί µε φίλους του, κατορθώνει να κλέψει τους καταλόγους συνθηµατικών χιλιάδων υπολογιστών, τα ηλεκτρονικά κλειδιά (δέκα τον αριθµό) της εισόδου των κεντρικών γραφείων της τηλεφωνικής εταιρείας Pacific Bell και τα εγχειρίδια χρήσης του συστήµατος COSMOS (COmputer System for Mainframe OperationS), δηλαδή µιας τεράστιας βάσης δεδοµένων, που χρησιµοποιούσαν πολλές τηλεφωνικές εταιρείες. Φυσικά, συνελήφθησαν σύντοµα, δικάστηκαν και καταδικάστηκαν. Ο Mitnick, ως ανήλικος, τη γλίτωσε φτηνά, αφού καταδικάστηκε µόνο σε φυλάκιση 3 µηνών και επιτήρηση ενός ακόµη έτους. Η επόµενη φορά που συνελήφθη ο Mitnick ήταν το 1983, όταν προσπάθησε να συνδεθεί, µέσω του ARPANet, από έναν υπολογιστή του Πανεπιστηµίου της Νότιας Καλιφόρνιας στο υπολογιστικό σύστηµα North America Air Defense Command Computer του Αµερικανικού Πενταγώνου. Το αποτέλεσµα ήταν έξι µήνες φυλακή. Μετά την έκτιση της ποινής του και µέχρι το 1987 ο Mitnick ζει µε ασυνήθιστη γι αυτόν ηρεµία. υστυχώς, η περίοδος αυτή δεν κράτησε πολύ. Το εκέµβριο 1987 καταδικάζεται σε επιτήρηση 36 µηνών, µετά από κατηγορία ότι έκλεψε πολύτιµο λογισµικό, αξίας πολλών χιλιάδων δολαρίων από την εταιρεία Microport Systems Santa Cruz Operation. Μέσα στο 1988 και για αρκετούς µήνες, ο Mitnick διάβαζε κρυφά τα µηνύµατα ηλεκτρονικού ταχυδροµείου που αντάλλασσαν οι υπεύθυνοι ασφάλειας υπολογιστικών συστηµάτων στις εταιρείες MCI Communications και Digital Equipment Corporation (DEC). Έτσι, έµαθε πώς προστατευόταν ο αντίστοιχος τηλεφωνικός και υπολογιστικός εξοπλισµός. Στις 15 εκεµβρίου 1988 ο Mitnick συνελήφθη για ηλεκτρονικές επιδροµές εναντίον συστηµάτων της DEC. Αξιοσηµείωτο είναι το γεγονός ότι τον κατέδωσε στο FBI ο φίλος και συνεργάτης του Lenny DiCicco, που τον χαρακτήρισε ως «τροµοκράτη των υπολογιστών» και «λαίλαπα για την κοινωνία». Κατηγορήθηκε για οικονοµική ζηµιά ύψους δολαρίων στην DEC, για κλοπή λογισµικού αξίας δολαρίων και για έξοδα δολαρίων. Κατηγορήθηκε επίσης για παραβίαση των υπολογιστικών συστηµάτων της MCI και για κλοπή κωδικών υπεραστικών κλήσεων. Για όλα αυτά καταδικάστηκε σε ένα χρόνο κάθειρξη και στην παρακολούθηση ενός ειδικού προγράµµατος «αποτοξίνωσης», διάρκειας 6 µηνών. Κατά τη διάρκεια του προγράµµατος αυτού τού απαγορεύτηκε η οποιαδήποτε χρήση υπολογιστή στο µέλλον.

29 1.2 E π π À ª π π ƒπ 29 Αφέθηκε ελεύθερος στα µέσα του 1990, παραβίασε την απαγόρευση χρήσης υπολογιστή και εξαφανίστηκε το Νοέµβριο του 1992, περνώντας πια ολοκληρωτικά στην παρανοµία. Η τελευταία επίθεση του Mitnick εκδηλώθηκε τα Χριστούγεννα του 1994 εναντίον του San Diego Supercomputer Center. Η επίθεση αυτή άρχισε παραβιάζοντας τον υπολογιστή του Tsitomu Shimomura, ειδικού ασφάλειας, ο οποίος έµελλε να είναι και ο άνθρωπος που οδήγησε τον Mitnick ενώπιον της δικαιοσύνης. Η τελευταία σύλληψη του Mitnick έγινε στις 14 Φεβρουαρίου KÔÈÓ Ú ÎÙËÚÈÛÙÈÎ ÙˆÓ ÂappleÈı ÛÂˆÓ Σε όλες τις επιθέσεις που πολύ σύντοµα είναι αλήθεια περιγράψαµε υπάρχουν κάποια κοινά χαρακτηριστικά. Στην πραγµατικότητα τα χαρακτηριστικά αυτά είναι κοινά και σε όλες τις γνωστές επιθέσεις εναντίον δικτυωµένων συστηµάτων. Η παρατήρηση αυτή µάς οδηγεί σε ένα µοντέλο επιθέσεων, το οποίο θα συζητήσουµε αµέσως τώρα. Το µοντέλο αυτό είναι επιχειρησιακό, σε αντίθεση µε άλλα, µαθηµατικά µοντέλα επιθέσεων, που εµφανίστηκαν κατά καιρούς στη βιβλιογραφία. Κάθε επίθεση εκτελείται από έναν επιτιθέµενο. Οι επιτιθέµενοι κατηγοριοποιούνται, ανάλογα µε τις προθέσεις τους, σε hackers, κατασκόπους, τροµοκράτες, επιδροµείς εταιρειών, επαγγελµατίες κακοποιούς ή βάνδαλους. Οι επιτιθέµενοι πάντα έχουν κάποιο σκοπό. Ο σκοπός αυτός µπορεί να είναι απλώς η ικανοποίηση του εγωισµού τους, πολιτικό όφελος, οικονοµικό όφελος ή η «χαρά» της καταστροφής. Οι επιτιθέµενοι, για να εκτελέσουν την επίθεση, χρησιµοποιούν κάποια εργαλεία. Τα εργαλεία αυτά κατηγοριοποιούνται, ανάλογα µε τη φύση τους, σε εντολές χρήστη, προγράµµατα ή scripts λειτουργικού συστήµατος, αυτόνοµους πράκτορες (agents), εργαλειοθήκες (toolkits), κατανεµηµένα εργαλεία ή παρακολουθητές δεδο- µένων (data taps). Χρησιµοποιώντας κάποιο ή κάποια εργαλεία, ο επιτιθέµενος επιτυγχάνει πρόσβαση σε κάποια µηχανή. Για να το καταφέρει αυτό, πρέπει να υπάρχει στη µηχανή κάποια αδυναµία, που µπορεί να οφείλεται είτε στην υλοποίηση είτε στη σχεδίαση είτε στη σύνθεση (configuration) της µηχανής. Η µη εξουσιοδοτηµένη αυτή πρόσβαση οδηγεί σε µη εξουσιοδοτηµένη χρήση διεργασιών, αρχείων και δεδοµένων που υπάρχουν στη µηχανή. Το αποτέλεσµα της µη εξουσιοδοτηµένης αυτής χρήσης µπορεί να είναι η διάβρωση πληροφορίας, η αποκάλυψη πληροφορίας, η κλοπή υπηρεσιών ή η άρνηση παροχής υπηρεσίας ή συνδυασµός όλων αυτών.

30 30 KEºA AIO 1: H A ƒ π ø π Àø ÕÛÎËÛË ÙÔ ÍÈÔÏfiÁËÛË 1.3 Αντιστοιχίστε καθεµιά από τις επιθέσεις, που συζητήσαµε στις Ενότητες , που φαίνονται στην αριστερή στήλη, µε τον τύπο επιτιθέµενου, που φαίνεται στη δεξιά στήλη. Προσέξτε: Η αντιστοίχιση δεν είναι απαραίτητα ένα προς ένα. 1. Έλικας του διαδικτύου 1. Hacker 2. Wily Hacker 2. Κατάσκοποι 3. Berferd 3. Τροµοκράτες 4. Texas A&M University 4. Επιδροµείς εταιρειών 5. Kevin Mitnick 5. Επαγγελµατίες κακοποιοί 6. Βάνδαλοι ÕÛÎËÛË ÙÔ ÍÈÔÏfiÁËÛË 1.4 Αντιστοιχίστε καθεµιά από τις επιθέσεις, που συζητήσαµε στις Ενότητες , που φαίνονται στην αριστερή στήλη, µε το σκοπό του επιτιθέµενου, που φαίνεται στη δεξιά στήλη. Προσέξτε: Η αντιστοίχιση δεν είναι απαραίτητα ένα προς ένα. 1. Έλικας του διαδικτύου 1. Ικανοποίηση εγωισµού 2. Wily Hacker 2. Πολιτικό όφελος 3. Berferd 3. Οικονοµικό όφελος 4. Texas A&M University 4. «Χαρά» της καταστροφής 5. Kevin Mitnick ÕÛÎËÛË ÙÔ ÍÈÔÏfiÁËÛË 1.5 Αντιστοιχίστε καθεµιά από τις επιθέσεις, που συζητήσαµε στις Ενότητες , που φαίνονται στην αριστερή στήλη, µε το αποτέλεσµα της επίθεσης, που φαίνεται στη δεξιά στήλη. Προσέξτε: Η αντιστοίχιση δεν είναι απαραίτητα ένα προς ένα. 1. Έλικας του διαδικτύου 1. ιάβρωση πληροφορίας 2. Wily Hacker 2. Αποκάλυψη πληροφορίας 3. Berferd 3. Κλοπή υπηρεσίας 4. Texas A&M University 4. Άρνηση παροχής υπηρεσίας 5. Kevin Mitnick

31 1.3 Tπ ª π π «A º π π Àø» 31 Ú ÛÙËÚÈfiÙËÙ 1.3 Εφαρµόστε το επιχειρησιακό µοντέλο επίθεσης, που περιγράψαµε στην Παράγραφο 1.2.6, στις επιθέσεις, που επίσης περιγράψαµε, για να αναγνωρίσετε το είδος του επιτιθέµενου, το σκοπό, τα εργαλεία, το είδος της πρόσβασης που πέτυχε και τα αποτελέσµατα της κάθε επίθεσης. Προσπαθείστε να βρείτε στο διαδίκτυο θέσεις που περιγράφουν επιθέσεις εναντίον υπολογιστικών συστηµάτων µέσω δικτύων και εφαρµόστε το ίδιο µοντέλο σε όσες επιθέσεις µπορέσετε να εντοπίσετε. Μια καλή θέση εκκίνησης είναι η ftp://info.cert.org. 1.3 TÈ ÛËÌ ÓÂÈ «AÛÊ ÏÂÈ ÈÎÙ ˆÓ» Σπάνια εµφανίζεται επιστηµονικό πεδίο για το οποίο να υπάρχει σχετικά εκτενής συναίνεση στον ορισµό του αντικειµένου. Ευτυχείς δε πρέπει να αισθάνονται οι επιστήµονες που υπηρετούν τα πεδία αυτά. υστυχώς, το πεδίο της ασφάλειας δεν είναι ακόµη ανάµεσά τους. Αυτό ίσως να εξηγείται και από το γεγονός ότι το πεδίο, ως επιστηµονικό πεδίο, και όχι ως αντικείµενο επαγγελµατικής δραστηριότητας, είναι πολύ νέο. Ωστόσο, αν και ευρεία συναίνεση δεν έχει επιτευχθεί, ορισµένα πράγµατα µπορούν να θεωρηθούν σχετικά σταθεροποιηµένα. Ένα απ αυτά είναι ο ορισµός της ίδιας της ασφάλειας πληροφοριών. Ασφάλεια, λοιπόν, είναι η διατήρηση της εµπιστευτικότητας, της ακεραιότητας και της διαθεσιµότητας των πληροφοριών, όπως και της διαθεσιµότητας του συστήµατος που χειρίζεται τις πληροφορίες. Για να συµπληρώσουµε τον ορισµό, πρέπει να πούµε ότι εµπιστευτικότητα είναι η ιδιότητα της πληροφορίας να προσπελάζεται από εξουσιοδοτηµένες προς τούτο οντότητες, ότι ακεραιότητα είναι η ιδιότητα της πληροφορίας να τροποποιείται µόνο από εξουσιοδοτηµένες προς τούτο οντότητες και ότι διαθεσιµότητα είναι η ιδιότητα της πληροφορίας να καθίσταται διαθέσιµη προς χρήση από τις εξουσιοδοτηµένες προς τούτο οντότητες µέσα σε λογικό χρόνο από την υποβολή της σχετικής αίτησης. Τέλος, διαθεσιµότητα συστήµατος είναι η ιδιότητα του συστήµατος να µπορεί να διαθέτει τους πόρους του στις οντότητες εκείνες που είναι προς τούτο εξουσιοδοτηµένες. Χρησιµοποιώντας τον παραπάνω, γενικά αποδεκτό, ορισµό και αντικαθιστώντας τον όρο «σύστηµα» µε τον όρο «δίκτυο», οδηγούµαστε σε ένα, πιστεύω, αρκετά σύντο- µο και περιεκτικό ορισµό του αντικειµένου «ασφάλεια δικτύων».

32 32 KEºA AIO 1: H A ƒ π ø π Àø ÓÔ Ë Στο κεφάλαιο αυτό είδαµε την ανάγκη για προστασία των πληροφοριών που διατρέχουν τα σηµερινά δίκτυα, όπως και των ίδιων των δικτύων, µέσα από µια συζήτηση της σηµασίας που αυτά έχουν στη σηµερινή κοινωνία και παγκόσµια οικονοµία. Συνεχίσαµε περιγράφοντας πολύ σύντοµα πέντε γνωστές επιθέσεις εναντίον δικτυωµένων συστηµάτων και ένα επιχειρησιακό µοντέλο επιθέσεων. Κλείσαµε το κεφάλαιο δίνοντας έναν ορισµό της «ασφάλειας δικτύων». BÈ ÏÈÔÁÚ Ê 1. «Αύξηση του ηλεκτρονικού εµπορίου στην ΕΕ», ΤΟ ΒΗΜΑ, 18 Οκτωβρίου Bangemann Committee, «Europe and the Global Information Society. Recommendations to the European Council», CORDIS focus, Supplement 2, 15 July Birch D., «Smart Solutions for Net Security», Telecommunications, April 1998, pp Cheswick W. & Bellovin S., Firewalls and Internet Security: Repelling the Wily Hacker, Addison Wesley, Dowd P. & McHenry J. T., «Network Security: It s time to take it seriously», IEEE Computer, Vol. 31, no. 9, September 1998, pp Higgins R. & Woods R., «The business of the Internet», Telecommunications, April 1998, pp Howard J. D., An analysis of security incidents on the Internet , ιδακτορική ιατριβή, Carnegie Mellon University, Pittsburgh, Katsikas S. K., Gritzalis D. and Spirakis P., «Attack modelling in open network environments», in G. Pernul and P. Horster (Eds.) Communications and Multimedia Security II, Chapman & Hall, Meinel C. P., «How Hackers Break In and How They Are Caught», Scientific American, October 1998, pp National Information Infrastructure, Washington DC, Οκτώβριος Office of Tehnology Assessment, Congress of the United States, Issue Update on Information Security and Privacy in Network Environments, US Government

33 BIB IO PAºIA 33 Printing Office, Washington DC, Safford D., Schales D. L. & Hess D. K., «The TAMU security package: an ongoing response to Internet intruders in an academic environment», in Proceedings, 4 th USENIX Unix Security Symposium, Santa Clara, CA, pp Spafford E. H., «The Internet Worm: Crisis and Aftermath», Communications of the ACM, Vol. 32, no. 6, 1989, pp Stallings W., Network and Internetwork Security: Principles and Practice, Englewood Cliffs, NJ, Prentice Hall, Sterling B., The Hacker Crackdown: law and disorder on the electronic frontier, Penguin Books, Stoll C., The Cuckoo s Egg, Pan Books, London, Χτούρη Σ., Μεταβιοµηχανική κοινωνία και η κοινωνία της πληροφορίας, Αθήνα, Ελληνικά Γράµµατα, 1997.

34

35 AÚ ÈÙÂÎÙÔÓÈÎ AÛÊ ÏÂÈ ÈÎÙ ˆÓ OSI ÎÔapplefi εν είναι δυνατόν να µάθει κανείς ασφάλεια δικτύων, αν δε γνωρίζει ήδη µερικά, τουλάχιστον, πράγµατα για δίκτυα. Το πρώτο µέρος του κεφαλαίου αυτού έχει ως σκοπό το να θυµίσει µάλλον, παρά να διδάξει, στον αναγνώστη µερικές βασικές αρχές δικτύων, ώστε να γίνει πιο εύκολη η παρακολούθηση του υπόλοιπου βιβλίου. Το δεύτερο µέρος εισάγει τον αναγνώστη στην ασφάλεια δικτύων σύµφωνα µε το µοντέλο αναφοράς OSI. 2 º π ÚÔÛ ÔÎÒÌÂÓ appleôùâï ÛÌ Ù Όταν θα έχετε τελειώσει τη µελέτη του κεφαλαίου αυτού, θα µπορείτε να: ιακρίνετε έξι βασικά στοιχεία ενός δικτύου Περιγράψετε το µοντέλο αναφοράς OSI Αναφέρετε τουλάχιστον έξι βασικές απειλές κατά δικτύων Περιγράψετε τις δεκατέσσερις υπηρεσίες ασφάλειας στο µοντέλο OSI Περιγράψετε τους οκτώ µηχανισµούς υλοποίησης των υπηρεσιών ασφάλειας στο µοντέλο OSI ŒÓÓÔÈ ÎÏÂÈ È δίκτυα, µοντέλο αναφοράς OSI, επίπεδα, υπηρεσίες, απειλές, µηχανισµοί ÈÛ ÁˆÁÈÎ apple Ú ÙËÚ ÛÂÈ Ξεκινάµε τη συζήτηση στο κεφάλαιο αυτό µε µερικές βασικές αρχές δικτύων, για να ορίσουµε το πεδίο ενδιαφέροντός µας και να εισαγάγουµε την απαραίτητη ορολογία. Στη συνέχεια θα συζητήσουµε ένα γενικό στρωµατοποιηµένο µοντέλο αρχιτεκτονικής για ανοικτά κατανεµηµένα συστήµατα, γνωστό ως «µοντέλο αναφοράς OSI». Θα

36 36 KEºA AIO 2: AƒÃπ π A º π π Àø OSI//ISO συνεχίσουµε αναφέροντας σύντοµα τα είδη των απειλών που αντιµετωπίζει ένα δίκτυο και πώς αυτές µπορούν να αντιµετωπιστούν µε τις υπηρεσίες ασφάλειας που ορίζονται στο µοντέλο αναφοράς OSI. Για κάποιο περίεργο όσο και άγνωστο λόγο, αποτελεί κοινή πεποίθηση ότι ένα βιβλίο σχετικό µε δίκτυα που δεν περιέχει τουλάχιστον µια ενότητα που να πραγµατεύεται το µοντέλο αναφοράς OSI δεν είναι πλήρες. Για να αποφύγω λοιπόν αυτή τουλάχιστον την κριτική, συµπληρώνω το κεφάλαιο µε την παρουσίαση του µοντέλου αυτού και τη συζήτηση των προδιαγραφών ασφάλειάς του. Πέρα από την αποφυγή της κριτικής, η δεύτερη αυτή ενότητα είναι χρήσιµη γιατί µας παρέχει ένα πλαίσιο στο οποίο θα εντάξουµε τα υπόλοιπα θέµατα που θα µας απασχολήσουν σε επόµενα κεφάλαια.