8.3 Ασφάλεια Δικτύου Ασφάλεια Πληροφοριών Επεξήγηση Ορολογίας Μέθοδοι Παραβίασης

Transcript

1 Κεφάλαιο Ασφάλεια Δικτύου Ασφάλεια Πληροφοριών Επεξήγηση Ορολογίας Μέθοδοι Παραβίασης Σελ Γεώργιος Γιαννόπουλος ΠΕ19, ggiannop (at) sch.gr Creative Commons License 3.0 Share-Alike

2 Ασφάλεια Πληροφοριών Η ανάγκη δικτύωσης γίνεται ολοένα και πιο επιτακτική ενώ παράλληλα εμφανίζεται η ανάγκη για προστασία των πληροφοριών. Σε ένα πληροφοριακό σύστημα ως αγαθά που πρέπει να προστατεύουμε θεωρούμε τα δεδομένα που διακινούνται και αποθηκεύονται σε αυτό καθώς και τους υπολογιστικούς πόρους (εξοπλισμό) που το απαρτίζουν.

3 Εθνικό Ίδρυμα Ερευνών Servers Διπλοί υπολογιστές (mirrors) και διπλοί αποθηκευτικοί χώροι δεδομένων. Οπτική Ίνα UPS: μηχανήματα σταθεροποίησης ηλεκτρικής τάσης + μπαταρίες σε περίπτωση διακοπής ρεύματος.

4 Ασφάλεια Πληροφοριών Ο διαχειριστής/ιδιοκτήτητης ενός πληροφοριακού συστήματος διατηρεί το δικαίωμα να καθορίζει ποιος έχει πρόσβαση αλλά και ποιος μπορεί να τροποποιήσει πληροφορίες. Εξουσιοδότηση: Ορίζουμε την άδεια που παρέχει ο διαχειριστής/ιδιοκτήτης σε κάποιο χρήστη για χρήση υπολογιστικών πόρων ή πρόσβαση σε συγκεκριμένο σύνολο δεδομένων. Για παράδειγμα σε ένα web server, ένας απλός χρήστης έχει την εξουσιοδότηση να δει τα περιεχόμενα (ιστοσελίδες με κείμενο, εικόνες, αρχεία) αλλά δεν έχει την εξουσιοδότηση να τροποποιήσει τα δεδομένα. commons.wikimedia.org/wiki/file:maplestory_thief.jpg

5 Ασφάλεια Πληροφοριών Μέρος της ασφάλειας πληροφοριών ασχολείται με την εξασφάλιση της συνεχούς παροχής υπηρεσιών στους εξουσιοδοτημένους χρήστες και την προστασία από τους μη εξουσιοδοτημένους. Αυθεντικότητα (authentication): Απόδειξη της ταυτότητας του χρήστη για παροχή πρόσβασης στα αγαθά του συστήματος. Ακεραιότητα (integrity): Διασφάλιση ότι τα δεδομένα έχουν υποστεί αλλαγές μόνο από εξουσιοδοτημένα άτομα. Εμπιστευτικότητα (Confidentiality): Περιορισμός της πρόσβασης στα δεδομένα μόνο σε άτομα που επιτρέπεται να έχουν πρόσβαση σε αυτά. Μη άρνηση ταυτότητας (non repudiation): Η δυνατότητα απόδοσης πράξεων σε συγκεκριμένο χρήστη => απλούστερα να δούμε ποιος έκανε οποιαδήποτε αλλαγή στο σύστημα Όλα μαζί τα παραπάνω 4: Εγκυρότητα (validy): Απόλυτη ακρίβεια και πληρότητα μιας πληροφορίας (συνδυασμός Ακεραιότητας + Αυθεντικότητας). commons.wikimedia.org/wiki/file:maplestory_thief.jpg

6 Ασφάλεια Πληροφοριών Μέρος της ασφάλειας πληροφοριών ασχολείται με την εξασφάλιση της συνεχούς παροχής υπηρεσιών στους εξουσιοδοτημένους χρήστες και την προστασία από τους μη εξουσιοδοτημένους. Διαθεσιμότητα Πληροφοριών (Information Availability): Αποφυγή προσωρινής ή μόνιμης απώλειας πρόσβασης στις πληροφορίες από εξουσιοδοτημένους χρήστες => σε κάποιες περιπτώσεις οι χρήστες μπορούν να πληρώνουν για να έχουν πρόσβαση στις πληροφορίες που παρέχει το σύστημα => η πρόσβαση πρέπει να είναι αδιάλειπτη. Ασφάλεια (security): Η προστασία της Διαθεσιμότητας, Ακεραιότητας και Εμπιστευτικότητας των πληροφοριών. Ασφάλεια Πληροφοριών (Information Security): Ο συνδιασμός της Εμπιστευτικότητας, της Εγκυρότητας και της Διαθεσιμότητας Πληροφοριών. Παραβίαση Ασφάλειας (security violation): Η παραβίαση ενός ή περισσότερων από τις παραπάνω ιδιότητες όπως: διαθεσιμότητα, εμπιστευτικότητα και εγκυρότητα. commons.wikimedia.org/wiki/file:maplestory_thief.jpg

7 Ασφάλεια Πληροφοριών Γενικά ένα πληροφοριακό σύστημα είναι εκτεθειμένο σε κίνδυνους: Απειλές (threats): Ενέργειες ή γεγονότα που μπορούν να οδηγήσουν στην κατάρρευση κάποιου από τα χαρακτηριστικά ασφάλειας που ορίσαμε προηγουμένως: π.χ. Τυχαία ή φυσικά γεγονότα: (πυρκαγιά, πλημμύρα), ανθρώπινες ενέργειες (σκόπιμες ή μη). Αδυναμίες (vulnerabilities): Σημεία του πληροφορικού συστήματος τα οποία (ενδεχομένως λόγω κακού σχεδιασμού ή υλοποίησης) αφήνουν περιθώρια για παραβιάσεις. Περιπτώσεις λαθών λογισμικού, ανεπαρκή παραμετροποίηση από το προσωπικό που το εγκατέστησε και το συντηρεί. Κόστος μέτρων ασφάλειας: Αξιολόγηση αγαθών που πρέπει να προστατευτούν, πιθανοί κίνδυνοι => σχεδιασμός αρχιτεκτονικής ασφάλειας => αγορά εξοπλισμού και λογισμικού => κόστος εγκατάστασης => επιλογή κατάλληλου προσωπικού => μόνιμο λειτουργικό κόστος συντήρησης αναβάθμισης. commons.wikimedia.org/wiki/file:maplestory_thief.jpg

8 Επεξήγηση Ορολογίας Κρυπτόγραμμα Κρυπτογράφηση (Encryption): Η κρυπτογράφηση είναι η διαδικασία με την οποία μετατρέπονται τα αρχικά δεδομένα (γνωστά και ως plaintext) σε μορφή (κρυπτόγραμμα) η οποία δεν μπορεί πλέον να γίνει κατανοητή χωρίς να αποκρυπτογραφηθεί. Η κρυπτογράφηση γίνεται με τη βοήθεια αλγορίθμου, το αποτέλεσμα του οποίου μπορεί να αντιστραφεί ώστε να παράγει ξανά τα αρχικά δεδομένα εισόδου. Για την κρυπτογράφηση και την αποκρυπτογράφηση χρησιμοποιείται το κλειδί. Αποκρυπτογράφηση (Decryption): Προφανώς η αντίστροφη διαδικασία της κρυπτογράφησης. Ο αλγόριθμος δέχεται ως είσοδο τα κρυπτογραφημένα δεδομένα (κρυπτόγραμμα) και με τη βοήθεια του κλειδιού (το οποίο προφανώς είναι διαθέσιμο μόνο σε εξουσιοδοτημένα άτομα) τα μετατρέπει ξανά στα κανονικά δεδομένα. Τα δεδομένα πλέον δεν είναι κωδικοποιημένα και μπορούν el.wikipedia.org/wiki/κρυπτογραφία να χρησιμοποιηθούν κανονικά.

9 Επεξήγηση Ορολογίας Κλειδί (Key): Στο πεδίο της κρυπτογράφησης, το κλειδί είναι ένας ψηφιακός κωδικός (ένας αριθμός από bits) ο οποίος χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση της πληροφορίας. Προφανώς το κλειδί φυλάσσεται σε ασφαλές μέρος και είναι διαθέσιμο μόνο στα μέρη που επιτρέπεται να έχουν πρόσβαση στα δεδομένα. Δημόσιο Κλειδί (Public Key): Στην ασυμμετρική κρυπτογράφηση, χρησιμοποιούνται για κάθε χρήστη δύο κλειδιά, το δημόσιο και το ιδιωτικό. Η βασική ιδέα είναι ότι το δημόσιο το γνωρίζει καθένας, ενώ το ιδιωτικό μόνο ο χρήστης. Το δημόσιο κλειδί χρησιμοποιείται για να κλειδώνει (κρυπτογραφεί) ενώ το ιδιωτικό ξεκλειδώνει. Όποιος θέλει να μας στείλει κρυπτογραφημένα δεδομένα, χρησιμοποιεί το δημόσιο μας κλειδί για να τα κλειδώσει. en.wikipedia.org/wiki/file:rsa_securid_sid800.jpg

10 Επεξήγηση Ορολογίας Ιδιωτικό Κλειδί (Private Key): Το ιδιωτικό κλειδί χρησιμοποιείται στην ασυμμετρική κρυπτογράφηση για να αποκρυπτογραφεί και να υπογράφει δεδομένα. ΠΡΟΣΟΧΗ: το σχολικό βιβλίο γράφει λανθασμένα ότι το ιδιωτικό κλειδί κρυπτογραφεί και ελέγχει υπογραφές - αυτά τα κάνει το δημόσιο κλειδί. Το ιδιωτικό κλειδί συνδυάζεται πάντα (σαν ζεύγος) με ένα αντίστοιχο δημόσιο. Η πλήρης διαδικασία εξηγείται σε επόμενη ενότητα. Μυστικό Κλειδί (Secret Key): Ψηφιακός κωδικός που είναι γνωστός και στα δύο μέρη προκειμένου να τον χρησιμοποιήσουν σε ανταλλαγή δεδομένων με χρήση κρυπτογράφησης / αποκρυπτογράφησης

11 Επεξήγηση Ορολογίας Ψηφιακή Υπογραφή (Digital Signature): Η ψηφιακή υπογραφή είναι τυπικά ένας αριθμός από bit που προστίθεται στο τέλος κάποιου αρχείου και εξασφαλίζει την αυθεντικότητα ( το έστειλε πράγματι ο χρήστης Α ) και την ακεραιότητα ( το έχουμε λάβει σωστά ) ενός μηνύματος. Λειτουργία (Συνάρτηση) Κατατεμαχισμού (Hash Function): Μαθηματική συνάρτηση της οποίας η έξοδος δεν μπορεί με αντιστροφή (με κανένα τρόπο) να μας παράγει την αρχική είσοδο. Προφανώς δεν μπορεί να χρησιμοποιηθεί για κρυπτογράφηση, καθώς δεν μπορούμε μετά να αποκρυπτογραφήσουμε το κείμενο, αλλά χρησιμοποιείται για την παραγωγή συνόψεων (digests). commons.wikimedia.org/wiki/file:hash_function_el.svg

12 Επεξήγηση Ορολογίας Σύνοψη Μηνύματος (Message Digest): Η σύνοψη ενός μηνύματος είναι το αποτέλεσμα (έξοδος) της συνάρτησης κατατεμαχισμού. Η σύνοψη δεν έχει το ίδιο μέγεθος (είναι συνήθως μικρότερη) με το αρχικό μήνυμα κάτι το οποίο έχει νόημα, γιατί όπως εξηγήσαμε δεν μπορούμε έτσι και αλλιώς να ξαναγυρίσουμε στο αρχικό μήνυμα. Οι αλγόριθμοι κατατεμαχισμού είναι φτιαγμένοι με τέτοιο τρόπο ώστε μια μικρή μεταβολή στα δεδομένα εισόδου (π.χ. Ένα μόνο γράμμα ή ακόμα και ένα μόνο bit) να προκαλεί ολοκληρωτική αλλαγή στην έξοδο (πλήρης αλλαγή της σύνοψης). Για το λόγο αυτό η σύνοψη χρησιμοποιείται πολύ συχνά για να ελέγξουμε την ακεραιότητα κάποιου αρχείου που κατεβάσαμε π.χ. από το Internet. Σε μεγάλα downloads, μπορούμε συνήθως να κατεβάσουμε και ένα αρχείο CHECKSUM (αθροίσματος ελέγχου) που περιέχει μέσα την σύνοψη του μεγάλου αρχείου. Εκτελώντας τη συνάρτηση κατατεμαχισμού στο δικό μας μηχάνημα, μπορούμε να συγκρίνουμε τις συνόψεις: αν είναι ίδιες το αρχείο έχει κατέβει σωστά. commons.wikimedia.org/wiki/file:hash_function_el.svg

13 Μέθοδοι Παραβίασης Επιθέσεις σε κωδικούς πρόβασης (password attacks): Επαναχρησιμοποιούμενα passwords (συνήθεις κωδικοί στα windows, unix-linux αλλά και σε websites κλπ). Τα password μιας χρήσης: αλλάζουν συνεχώς και μπορούν να χρησιμοποιηθούν μόνο για μια φορά πρόσβαση στο Στους κωδικούς δεν σύστημα. δεν βάζουμε λέξεις, Επίθεση σε επαναχρησιμοποιούμενα password: αλλά μαζί με χαρακτήρες, αριθμούς, σύμβολα, εναλλαγή κεφαλαίων και μικρών κλπ. Προγράμματα χρησιμοποιώντας λεξικό με λέξεις και με τυχαίους συνδυασμούς χαρακτήρων προσπαθούν να βρουν τον κωδικό. Παρακολούθηση των πλήκτρων που πατάει ένας χρήστης με προγράμματα spyware (έτσι γίνεται και υποκλοπή αριθμών πιστωτικών καρτών).

14 Πληκτρολόγιο Οθόνης Επειδή υπάρχουν προγράμματα (spy-ware) που παρακολουθούν το πάτημα των πλήκτρων (έχουν εγκατασταθεί στον Η/Υ εν άγνοια του χρήστη), κάποιες τράπεζες ζητάνε από το χρήστη να εισάγει τον κωδικό του χρησιμοποιώντας ένα πληκτρολόγιο οθόνης όπου με το ποντίκι επιλέγεις τους χαρακτήρες του κωδικού.

15 Social Engineering - Παραπλάνηση. Παραδείγματα: Κάποιος προσποιείται ότι είναι υπάλληλος γραφείου (help desk) και ζητά το κωδικό του χρήστη. Μας παρακολουθεί κάποιος και βλέπει το κωδικό που πληκτρολογήσαμε. Αποστολή s όπου υποτίθεται ή ομάδα ασφάλειας της τράπεζας σου ζητά να συνδεθείς σε ένα ψεύτικο site που μοιάζει με το site της τράπεζας και να βάλεις του κωδικούς για e-banking κλπ.

16 Αγαπιτέ πελάτη της Ιντερνέτ-Τράπεζας! Επειδή η κατάσταση με Οnline - Τράπεζες στη χώρα μας είναι σήμερα πολύ δύσκολη, η κυβέρνηση της Ελλάδας παρακάλεσε μας να κάνουμε τον έλεγχο για όλους τους o nline - λογαριασμούς της δηκής! μας τράπεζας να μάθουμε αν υπάρχουν "λογαριασμοί μιας μέρας", τους οποίους χρησιμοποιούν οι εγκληματίες για να αποπλύνονται τα κλεμμένα λεφτά. Δια ταυτα σας παρακαλούμε πολύ σοβαρά να συμπληρώσετε το ερωτηματολόγιο της επιβεβαιώσεις λογαριασμού στη επίσημη μας Ιντερμετ-σελίδα Οι λογαριασμοί, που δε θα επιβεβαιοθούν ως της , θα παγώνονται για ακαθόριστο καιρό πριν γίνει φανερό πως ακριβώς έχουν δημιουργηθεί και εκμεταλευθεί. Ο έλεγχος αυτος είναι επίκαιρος οχι μόνο για ιδιωτικούς μας πελάτες, αλλα για όλους σας. ΝΑ ΣΥΜΠΛΗΡΩΣΩ ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ Σας ζητούμε συγνώμη για τις ενοχλήσεις που προκύπται απο τη διαταγή της παρούσες εκδήλωσης και ελπίζουμε για την κατανόηση και την βοήθειά σας. Με σεβασμό, Υπηρεσία ασφάλειος Τράπεζα Alpha Bank Παραπλανητικό για την alha bank: έχει λάθη συντακτικά και ορθογραφικά μάλλον ξένοι που δεν γνωρίζουν ελληνικά το έφτιαξαν για να κλέψουν χρήματα από ανυποψίαστους χρήστες. Σε οδηγούν σε σελίδα που δεν είναι της τράπεζας αλλά μοιάζει και στην διεύθυνση αλλά λαι στον σχεδιασμό (λογότυπα) κλπ. --- ΛΗΞΗ ΚΥΡΙΩΣ ΚΕΙΜΕΝΟΥ ΜΗΝΥΜΑΤΟΣ --Το κείμενο/σύνδεσμος "ΝΑ ΣΥΜΠΛΗΡΩΣΩ ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ" οδηγεί σε δικτυακό τόπο *ΑΣΧΕΤΟ* με την Alpha Bank. Οδηγούν σε έναν από τους εξής δικτυακούς τόπους: cert.sch.gr/index.php?name=news&file=article&sid=9&newlang=eng

17 Χρήση Βίας για απόκτηση κωδικού πρόβασης. Χρήση εξωτερικής φυσικής βίας: Απειλείται η σωματική ακεραιότητα του χρήστη και μπορεί να αποκαλύψει τον password που χρησιμοποιεί. Χρήση εσωτερικής βίας: Κάποιος που αντιγράφει παράνομα προγράμματα, αποκρυπτογραφεί τους κωδικούς κλειδώματος με κάποιο πρόγραμμα crack το οποίο αποκρυπτογραφεί τους κωδικούς και το πρόγραμμα δουλεύει σαν να είναι αγορασμένο νόμιμα. Υπάρχουν προγράμματα crack τα οποία δοκιμάζουν κωδικούς πρόσβασης τα οποία προσπαθούν να βρούνε κωδικούς πρόσβασης. Οι κωδικοί πρόσβασης είναι αποθηκευμένοι ως συνόψεις (digests) μέσω της λειτουργίας κατατεμαχισμού (hash function). commons.wikimedia.org/wiki/file:hash_function_el.svg

18 Παρακολούθηση Δικτύου (network monitoring packet sniffing) Π.χ η εφαρμογή dsniff (packet sniffer) είναι ανιχνευτής κωδικών ftp, telnet κλπ: Τα δεδομένα μεταφέρονται μέσω πακέτων. Σε κάποιες εφαρμογές όπως το ftp και το telnet ο κωδικός μεταφέρεται ως κείμενο. Ειδικά προγράμματα κάνουν ανίχνευση πακέτων (packet sniffing) ή χρησιμοποιούν κάρτα δικτύου σε κατάσταση λειτουργίας promiscurous (=αδιάκριτη, ετερόκλητη). Αποθηκεύουν όλα τα πακέτα που διακινούνται και προσπαθούν να βρουν μέσα σε αυτά κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών κλπ. Αυτό όνομάζεται: Man-in-the-middle επίθεση. Η χρήση κρυπτογράφησης είναι ο κύριος τρόπος άμυνας σε ένα packet sniffer, αφού τα υπο-κλεμμένα πακέτα δεν μπορούν να αποκωδικοποιηθούν. Στο υπάρχει μια λίστα από λίστα από προγράμματα ανίχνευσης πακέτων.

19 Man in the middle attack Alice Γεια σου Bob, είμαι η Alice. Δώσε το κλειδί ---> Mallory Bob Alice Mallory Γεια σου Bob, Είμαι η Alice. Δώσε το κλειδί ---> Bob Alice Mallory <--- [Κλειδί Bob] Alice <--- [Κλειδί Mallory] Mallory Bob Bob Alice Θα βρεθούμε στη στάση λεωφορείου (κρυπτογραφημένο με το κλειδί του Mallory) --> Mallory Bob Alice Mallory Θα βρεθούμε στην κεντρική πλατεία (κρυπτογραφημένο με το κλειδί του Bob --> Bob commons.wikimedia.org/wiki/file:man_in_the_middle_attack.svg

20 Μεταμφίεση (Masquerade) IP Spoofing: Επίθεση με μεταμφίεση, ο οποίος βρίσκεται σε άλλο δίκτυο, αλλά προσποιείται ότι βρίσκεται στο δικό μας (εύρος τοπικών IP διευθύνσεων ξεγελά firewall). Εισάγει δεδομένα ή εντολές σε υπάρχον πακέτο δεδομένων, κατά την διάρκεια της επικοινωνίας τύπου client-server ή σε δίκτυα από σημείο σε σημείο => αλλάζει τους πίνακες δρομολόγησης που έδειχναν προς την διεύθυνση, που έχει προσποιηθεί ότι βρίσκεται => κλέβει κωδικούς, στέλνει s κλπ. commons.wikimedia.org/wiki/file:igbo_contemporary_masquerade.jpg

21 Άρνηση Παροχής Υπηρεσιών (Denial of Service) Επιθέσει που εστιάζουν στην εξάντληση των ορίων των πόρων του δικτύου => π.χ. Αριθμών πακέτων που μπορεί να χειριστεί ένας δρομολογητής ταυτόχρονα. Για παράδειγμα στις αρχές του 2000 τέτοιες επιθέσεις έγιναν στα site: Yahoo και CNN. Εάν σε ένα εξυπηρετητή ζητηθεί να εξυπηρετήσει πολύ μεγαλύτερο όγκο εργασιών από ότι είναι σχεδιασμένος σε συγκεκριμένο χρονικό διάστημα, τότε είναι λογικό ότι θα καταρρεύσει. Malwares χρησιμοποιούνται για συντονισμένες επιθέσεις (υπολογιστής zombie). Είναι κάτι αντίστοιχο που έχουν κάνει (κακώς) στο παρελθόν μαθητές σε 5ήμερες: εάν συνεννοηθούν σε ένα μεγάλο ξενοδοχείο να τραβήξουν όλοι την εκκένωση της τουαλέτας, τότε θα σπάσουν οι σωλήνες του ξενοδοχείου.

22 Παράδειγμα επίθεσης: Ping of Death Το ping είναι μια μέθοδος για τον εντοπισμό της διαθεσιμότητας και της απόδοσης ενός απομακρυσμένου πόρου του δικτύου. Η επίθεση Ping Of Death συντελείται όταν ένας ηλεκτρονικός υπολογιστής στέλνει κακοσχηματισμένα πακέτα ping σε έναν άλλο υπολογιστή με σκοπό να τον θέσει εκτός λειτουργίας. Συγκεκριμένα: Ένα πακέτο ping έχει κανονικά μέγεθος 64 bytes (ή 84 bytes εάν προστεθεί και η κεφαλίδα που προσθέτει το πρωτόκολλο IP). Πολλοί τύποι ηλεκτρονικών υπολογιστών δεν μπορούν να χειριστούν πακέτα ping που έχουν μέγεθος μεγαλύτερο από bytes, δηλαδή το μέγιστο επιτρεπτό από το πρωτόκολλο IP. Κατά συνέπεια, η επίθεση Ping Of Death περιλαμβάνει την συνεχή αποστολή μεγάλων πακέτων ping σε κάποιον υπολογιστή μέχρι ο τελευταίος να τεθεί εκτός λειτουργίας.

23 Επιθέσεις στο επίπεδο των εφαρμογών (application-layer attacks) Π.χ. Στο Telnet το όνομα χρήστη και ο κωδικός πρόσβασης αποστέλνεται ως απλό κείμενο: άρα κάποιος που έχει πρόσβαση στο router (man in the middle) ή σε κάποιο ενδιάμεσο κόμβο μπορεί να τα υποκλέψει. Οι εφαρμογές πρωτοκόλλων όπως το http, ActiveX, Telnet, ftp παρουσιάζουν αδυναμίες στον κώδικά του (γνωστές ως τρύπες holes): κάποιος που γνωρίζει αυτές τις αδυναμίες μπορεί να επιτεθεί και να αποκτήσει πρόσβαση στο σύστημα για να προκαλέσει ζημιά ή συλλογή πληροφοριών.

24 Βιβλιογραφία - Ανεπίσημο βοήθημα για την Πληροφορική Γ' Πληροφορικής των ΕΠΑ.Λ του Μανώλη Κιαγιά.