1 Εισαγωγή στην Ασφάλεια Η/Υ 1.1 Βασικές Έννοιες Στον όρο «Ασφάλεια» µπορούν να αποδοθούν πολλές ερµηνείες, κάθε µία από τις οποίες µπορεί να αποδώσει µε ακρίβεια διαφορετικές καταστάσεις. Σύµφωνα µε τον ορισµό του λεξικού της Οξφόρδης, «ασφάλεια είναι η ελευθερία από τον κίνδυνο ή το φόβο». ιάφοροι άλλοι ορισµοί µπορούν να χρησιµοποιηθούν για να προσδιορίσουν την ασφάλεια όπως (βλ.λεξικό Μπαµπινιώτη): Η κατάσταση στην οποία δεν υπάρχουν κίνδυνοι, όπου αισθάνεται κανείς ότι δεν απειλείται. Η αποτροπή κινδύνου ή απειλής, η εξασφάλιση σιγουριάς και βεβαιότητας. Υπηρεσία της Αστυνοµίας. Ηλεκτρική διάταξη που αποτρέπει πιθανά ατυχήµατα. Μηχανισµός στην πόρτα αυτοκινήτου. Συµφωνία µεταξύ ασφαλιστικής εταιρείας και πελάτη. Ιατροφαρµακευτική περίθαλψη. Από µία πρακτική άποψη, η ασφάλεια µπορεί να έγκειται στην επαρκή προστασία ανθρώπων και αγαθών, για την οποία µπορεί να λαµβάνονται διάφορα µέτρα προστασίας από πιθανούς κινδύνους. Για παράδειγµα, η φυσική ασφάλεια ενός κτηρίου έγκειται στην αποτροπή εισόδου κακόβουλων ατόµων και στην αποτροπή ζηµιών από φυσικές καταστροφές. Αντίστοιχα, η ασφάλεια µίας ηλεκτρονικής βάσης δεδοµένων έγκειται στην προστασία των δεδοµένων από καταστροφή, διαγραφή, αλλοίωση ή αποκάλυψη σε µη εξουσιοδοτηµένους χρήστες. Η Ασφάλεια Τεχνολογίας Πληροφορίας και Επικοινωνιών ασφάλεια ΤΠΕ (Information and Communication Technology Security ICT Security) περιλαµβάνει την ασφάλεια: 1. Των υπολογιστικών συστηµάτων και εφαρµογών, δηλαδή την προστασία από µη εξουσιοδοτηµένες ενέργειες όπως αλλαγή δικαιωµάτων πρόσβασης, κακόβουλη εκτέλεση εντολών, τροποποίηση της διάρθρωσης του συστήµατος, κακόβουλη ή λανθασµένη χρήση, διακοπή λειτουργίας, καθώς και τη φυσική προστασία των υπολογιστικών συστηµάτων. 2. Των δικτύων και των υποδοµών, δηλαδή την προστασία από µη εξουσιοδοτηµένη λογική πρόσβαση σε ένα δίκτυο, παράκαµψη ή τροποποίηση των κανόνων δροµολόγησης στο δίκτυο, παρακολούθηση του µέσου επικοινωνίας, διακοπή της επικοινωνίας, φυσική προστασία των υποδοµών επικοινωνίας κτλ. 3. Των πληροφοριών, δηλαδή την προστασία των δεδοµένων ως προς την εµπιστευτικότητα, την ακεραιότητα και τη διαθεσιµότητά τους. Το παρακάτω σχήµα επεξηγεί τη σχέση των διαφόρων τµηµάτων της Ασφάλειας Τεχνολογίας Πληροφορίας και Επικοινωνιών.
Ασφάλεια ΤΠΕ ΑΣΦΑΛΕΙΑ ΤΠΕ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΑΣΦΑΛΕΙΑ ΙΚΤΥΩΝ ΚΑΙ ΥΠΟ ΟΜΩΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΥΘΕΝΤΙΚΟΤΗΤΑ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΙΑΘΕΣΙΜΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΙΑΘΕΣΙΜΟΤΗΤΑ Η επιστήµη της Ασφάλειας Υπολογιστών σχετίζεται µε ένα πλήθος γνωστικών αντικειµένων, θεωριών και τεχνολογιών που σκοπό έχουν: Την πρόληψη, ανίχνευση και αντιµετώπιση µη εξουσιοδοτηµένων πράξεων, οι οποίες σχετίζονται µε τη χρήση υπολογιστικών συστηµάτων Ο ρόλος του Η/Υ κατά την εκτέλεση των µη εξουσιοδοτηµένων πράξεων συνήθως είναι διττός: 1. Αποτελεί βασικό εργαλείο (αλλά όχι πάντα αποκλειστικό) για την τέλεση τους, 2. Ο ίδιος ο Η/Υ (και συγκεκριµένα τα δεδοµένα ή/και οι πληροφορίες που περιέχονται ή δηµιουργούνται σε αυτόν) αποτελεί στόχο των πράξεων αυτών. Οι µη εξουσιοδοτηµένες πράξεις, ανάλογα µε τις συνέπειες τους µπορούν να αποτελούν ή όχι ένα Ηλεκτρονικό Έγκληµα (e-crime, computer crime). Οι [Forester and Morrison, 1994] ορίζουν το Ηλεκτρονικό Έγκληµα ως: «Μία εγκληµατική πράξη κατά την τέλεση της οποίας ο Η/Υ αποτελεί το βασικό εργαλείο» Ασφάλεια γιατί τη χρειαζόµαστε Τα τελευταία χρόνια, και κυρίως λόγω της άνθησης και εξάπλωσης των τεχνολογιών και υπηρεσιών Web, οι πληροφοριακοί κίνδυνοι κατά της ασφάλειας Η/Υ και δικτύων είναι πολυάριθµοι. Μια (όχι πλήρης) λίστα από παραδείγµατα: Κακόβουλο Λογισµικό, π.χ. Ιοί (Viruses), Σκουλήκια (Worms), ούρειοι Ίπποι (Trojan Horses), Spyware, Adware, µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση στους πόρους ενός Η/Υ. 2
Μη εξουσιοδοτηµένη εισβολή σε υπολογιστικά-πληροφοριακά συστήµατα (Hacking). Χρήση κακόβουλου λογισµικού ή/και τεχνικών Κοινωνικής Μηχανικής (Social Engineering) µε σκοπό την εκµετάλλευση των αδυναµιών και την πρόσβαση στους πόρους του συστήµατος Επιθέσεις Άρνησης Εξυπηρέτησης (Denial Of Service). ιακοπή ή υποβάθµιση των παρεχοµένων υπηρεσιών ενός συστήµατος. Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading). Χρήση «πλαστής» ταυτότητας µε σκοπό τη µη ανίχνευση του επιτιθέµενου, ή/και την παράκαµψη των τεχνικών ελέγχου πρόσβασης του συστήµατος. Υποκλοπές Επικοινωνιών - Αλλοίωση δεδοµένων. Επιθέσεις στην εµπιστευτικότητα (confidentiality) και ακεραιότητα (integrity) των δεδοµένωνπληροφοριών που είναι αποθηκευµένες ή ανταλλάσσονται µεταξύ δύο ηλεκτρονικών διατάξεων. Μη ζητηθείσα επικοινωνία (spam). Μηνύµατα ηλεκτρονική αλληλογραφίας που αποστέλλονται χωρίς τη συγκατάθεση του παραλήπτη, ενώ συχνά η ταυτότητα του αποστολέα είναι πλαστογραφηµένη ή απλά αδύνατον να εντοπιστεί. Παραβίαση δικαιωµάτων πνευµατικής ιδιοκτησίας. Αντιγραφή, αναπαραγωγή, παραποίηση ή/και αναδιανοµή δεδοµένων-πληροφοριών που προστατεύονται από τους νόµους περί πνευµατικής ιδιοκτησίας, χωρίς τη συγκατάθεση του δηµιουργού τους. 9 1.2 Απειλές, Αδυναµίες και Συνέπειες Απαραίτητη προυπόθεση για το σχεδιασµό-διαχείριση της ασφάλειας ενός συστήµατος είναι η καταγραφή των απειλών και των αδυναµιών του συστήµατος. Έπειτα αναζητούνται και εφαρµόζονται τα κατάλληλα µέτρα προστασίας. Στην 3
ενότητα αυτή παρατίθενται και επεξηγούνται οι όροι που σχετίζονται µε την παραπάνω διαδικασία. Πληροφοριακός Πόρος ή Αγαθό (Asset). Κάθε αντικείµενο ή πόρος που ανήκει ή υποστηρίζει ένα πληροφοριακό σύστηµα και το οποίο αξίζει να προστατευθεί. Υπάρχουν διάφορες κατηγορίες αγαθών, όπως: - Φυσικά Αγαθά (Physical Assets): Κτήρια, Υπολογιστές, ικτυακή Υποδοµή, Έπιπλα, κτλ - Αγαθά εδοµένων (Data Assets): Αρχεία (ηλεκτρονικά, έντυπα) - Αγαθά Λογισµικού (Software Assets): Λογισµικό Εφαρµογών, Λειτουργικά Συστήµατα, κτλ. Συνέπεια ή Αξία Αγαθού (Impact or Value). Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού. Αυτή µπορεί να µετρηθεί ως: Άµεση Οικονοµική Συνέπεια, δηλαδή το κόστος που απαιτείται για την επαναγορά του αγαθού ή για την συλλογή, επαναδηµιουργία ή συντήρηση. Έµµεση συνέπεια, δηλαδή το µη µετρήσιµο κόστος που θα µπορούσε να προκληθεί από την προσβολή του αγαθού. Παραδείγµατα έµµεσης συνέπειας είναι: - Συνέπειες υσφήµησης και Απώλειας Καλής Πίστης: Είναι η απώλεια που θα προκαλέσει σε έναν οργανισµό µία επιτυχηµένη επίθεση ασφάλειας, λόγω της δυσφήµησης και της απώλειας καλής πίστης που θα προκαλέσει. Για παράδειγµα, µία επιτυχηµένη επίθεση στο δίκτυο µίας τράπεζας θα αποτρέψει πολλούς πελάτες από τη χρήση υπηρεσιών ηλεκτρονικής τραπεζικής και άρα θα έχει συνέπειες στα έσοδα αυτής της υπηρεσίας. - Νοµικές Συνέπειες: Είναι η απώλεια που θα προκαλέσει σε έναν οργανισµό µία επιτυχηµένη επίθεση ασφάλειας λόγω αδυναµίας συµµόρφωσης µε νοµικές υποχρεώσεις. Για παράδειγµα, σε περίπτωση που κάποιο νοσηλευτικό ίδρυµα δεν λαµβάνει τα αναγκαία µέτρα για την προστασία των δεδοµένων ασθενών και εξαιτίας ελλιπών µέτρων διαρρεύσουν δεδοµένα υγείας ενός ασθενούς, τότε ενδέχεται να υπάρξουν πρόστιµα λόγω παραβίασης της νοµοθεσίας περί προστασίας προσωπικών δεδοµένων. - Συνέπειες ιακοπής ή Παρεµπόδισης Λειτουργίας: Είναι το κόστος που προκαλείται λόγω της προσωρινής διακοπής ή παρεµπόδισης λειτουργίας. Για παράδειγµα, εάν το δίκτυο ενός τηλεπικοινωνιακού παρόχου υποστεί µία επιτυχηµένη επίθεση άρνησης εξυπηρέτησης (Denial-of-Service attack) και δεν λειτουργεί κανονικά για ορισµένο χρονικό διάστηµα, τότε θα υπάρξουν απώλειες από τη µη χρήση της υπηρεσίας για το χρονικό αυτό διάστηµα (χαµένες κλήσεις sms, κτλ). - Κοινωνικές Συνέπειες: Αυτές αφορούν τις απώλειες που θα προκληθούν στο κοινωνικό σύνολο από µία επιτυχηµένη επίθεση στις ΤΠΕ ενός οργανισµού. Για παράδειγµα, σε περίπτωση που το σύστηµα συλλογής κλήσεων άµεσης δράσης της Αστυνοµίας υποστεί επίθεση και δεν λειτουργεί, θα υπάρξουν 4
συνέπειες στο κοινωνικό σύνολο από την αδυναµία κλήσεως της Αρχής για αυτό το χρονικό διάστηµα. Σηµειώνεται ότι σε πολλές περιπτώσεις µία επιτυχηµένη επίθεση ασφάλειας µπορεί να έχει περισσότερες από µία άµεσες ή έµµεσες συνέπειες σε ένα αγαθό. Σε αυτή την περίπτωση η συνέπεια θα εκτιµηθεί µε βάση την µεγαλύτερη συνέπεια της συγκεκριµένης επίθεσης. Απειλή (Threat). Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό. Μία απειλή µπορεί να προκληθεί από τυχαία ή εσκεµµένα γεγονότα. Παραδείγµατα απειλών είναι: Περιβαλλοντικές απειλές: Φωτιά, σεισµός, πληµµύρα, καταιγίδα, καύσωνας, κεραυνός, προβλήµατα κλιµατισµού, προβλήµατα ηλεκτρισµού κτλ Σκόπιµες ανθρώπινες απειλές: πλαστοπροσωπία, εύρεση κωδικού, εκµετάλλευση αδυναµιών δικτύου, λογισµικού, λειτουργικού συστήµατος, κακή χρήση των πόρων, µη εξουσιοδοτηµένη πρόσβαση, κλοπή, απάτη, βανδαλισµός, εµπρησµός κτλ Μη σκόπιµες ανθρώπινες απειλές: Λανθασµένη χρήση συστήµατος, προγραµµατιστικά λάθη, µη σκόπιµη αποκάλυψη δεδοµένων, µη σκόπιµη καταστροφή εξοπλισµού κτλ. Οι απειλές στην ασφάλεια του συστήµατος διακρίνονται σε Εξωτερικές (δηλαδή απειλές που προέρχονται από το εξωτερικό περιβάλλον π.χ. εκτός του Οργανισµού/Επιχείρησης) και σε Εσωτερικές (δηλαδή απειλές που προέρχονται από το εσωτερικό περιβάλλον π.χ. εντός του Οργανισµού/Επιχείρησης). 1. Εξωτερικές απειλές. Γεγονότα, καταστάσεις ή οντότητες που δρουν ή εκτυλίσσονται στο εξωτερικό περιβάλλον απειλούν την ασφάλεια του συστήµατος. Εξωτερικοί Εισβολείς (outsiders): Hackers / Crackers / Vandals / Hacktivists, Πραγµατοποίηση Επιθέσεων όπως: o Footprinting Εύρεση στοιχείων για την επιχείρηση π.χ. µπλοκ IP διευθύνσεων, e-mail διευθύνσεις, τοπολογία δικτύου, ονόµατα υπολογιστών, διάρθρωση της επιχείρησης κ.λ.π o Scanning & enumerating - Εύρεση υπηρεσιών, προγραµµάτων εφαρµογών και πρωτοκόλλων που υλοποιούν/εκτελεί ο υπολογιστής-στόχος, o Hacking - Παράκαµψη του µηχανισµού ασφάλειας µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση σε κάποιο αγαθό του συστήµατος). Κακόβουλο λογισµικό: Ιοί (Viruses), Σκουλήκια (Worms), ούρειοι Ίπποι (Trojan Horses), λογισµικό spyware/adware κ.λ.π. Κοινωνικοί Μηχανικοί (Social Engineers): Εξωτερικοί χρήστες που εκµεταλλεύονται τον ανθρώπινο παράγοντα για να παρακάµψουν έναν µηχανισµό ασφάλειας και να αποκτήσουν µη εξουσιοδοτηµένη πρόσβαση στο σύστηµα. 5
2. Εσωτερικές Απειλές. ηλαδή, «νόµιµοι» χρήστες του συστήµατος οι οποίοι προσπαθούν να αποκτήσουν µη εξουσιοδοτηµένη πρόσβαση σε πόρους του συστήµατος. - Χρήστες της Επιχείρησης/Οργανισµού που παρακάµπτουν τις διαδικασίες ελέγχου για την πρόσβαση σε διαβαθµισµένα δεδοµένα/πληροφορίες. - Χρήστες που αποκτούν πρόσβαση σε λογαριασµούς χρηστών µε περισσότερα δικαιώµατα σε σχέση µε τα δικαιώµατα που ήδη έχουν. Αδυναµία (Vulnerability). Οποιοδήποτε χαρακτηριστικό κάνει ευάλωτο ένα αγαθό σε κάποια απειλή. Για παράδειγµα, εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται επαρκώς, το αρχείο έχει µεγάλη αδυναµία στην απειλή της κλοπής. Όσο µεγαλύτερη είναι η αδυναµία ενός αγαθού σε µία απειλή, τόσο µεγαλύτερες θα είναι οι συνέπειες στο αγαθό σε περίπτωση που εκδηλωθεί η απειλή αυτή. Οι αδυναµίες µπορεί είτε να είναι «εγγενείς» (π.χ. υπερχείλιση καταχωρητή «κακή» διαχείριση της µνήµης από µια εφαρµογή ή το Λ.Σ.), ή να δηµιουργούνται από κακή χρήση-διαχείριση του συστήµατος (π.χ. λάθος ορισµός των «δικαιωµάτων» - permissions σε ένα αρχείο). 18 Επιθέσεις (attacks) Μια εξωτερική (ή εσωτερική) απειλή εκµεταλλεύεται µια ή περισσότερες αδυναµίες και εξαπολύει µια επίθεση που έχει ως συνέπεια την παραβίαση της εµπιστευτικότητας, της αυθεντικότητας, της ακεραιότητας ή της διαθεσιµότητας του συστήµατος. Τυχαίες και Εσκεµµένες Επιθέσεις. Οι επιθέσεις που πραγµατοποιούνται µπορεί να είναι: - Τυχαίες - π.χ. λάθη, αµέλεια, φωτιά, διακοπή ρεύµατος.. 6
- Εσκεµµένες π.χ. hackers, crackers, vandals,.. Ένα σύστηµα αποτελείται από διατάξεις υλικού (Υλικό), εφαρµογές λογισµικού (Λογισµικό), εδοµένα, Γραµµές Επικοινωνίας, καθώς και ανθρώπους που τα διαχειρίζονται-χρησιµοποιούν. Σε χαµηλό επίπεδο, εκτός από τις προηγούµενες γενικές κατατάξεις, οι επιθέσεις στην Ασφάλεια Η/Υ µπορούν επίσης να κατηγοριοποιηθούν ανάλογα µε το είδος της συνέπειας που επιφέρουν, καθώς και ανάλογα µε τον τύπο του αγαθού που επηρεάζουν. Έτσι, οι επιθέσεις διακρίνονται σε: Επιθέσεις Υποκλοπής (Interception) - Μία µη εξουσιοδοτηµένη οντότητα αποκτά πρόσβαση σε ένα αγαθό. Οι επιθέσεις Υποκλοπής µπορεί να έχουν ως στόχο το Υλικό (π.χ. εξαγωγή κλειδιώνκωδικών από κάρτες), τα εδοµένα (π.χ. επιθέσεις sniffing, µη εξουσιοδοτηµένη ανάγνωση ή αντιγραφή εγγράφων/φακέλων, αρχείων κωδικών (password files), υποκλοπή αριθµών πιστωτικών καρτών, κωδικών PIN, κωδικών password κατά τη µεταφορά τους στο δίκτυο), το Λογισµικό (π.χ. µη εξουσιοδοτηµένη πρόσβαση στον κώδικα των προγραµµάτων, µη εξουσιοδοτηµένη αντιγραφή προγραµµάτων) ή τις Γραµµές Επικοινωνίας του συστήµατος (π.χ. επιθέσεις ανάλυσης κίνησης -traffic analysis). Ουσιαστικά αποτελούν επιθέσεις κατά της Εµπιστευτικότητας (Confidentiality) του Συστήµατος. Επιθέσεις ιακοπής (Interruption) - Ένα αγαθό χάνεται, γίνεται µη διαθέσιµο, ή τίθεται εν αχρηστία. Για παράδειγµα, διαγραφή αρχείων, δεδοµένων και πληροφοριών, επιθέσεις άρνησης εξυπηρέτησης (DOS attacks) κ.λ.π Οι επιθέσεις ιακοπής µπορεί να έχουν ως στόχο το Υλικό (ζηµιά, βλάβες, διακοπή ρεύµατος, επιθέσεις άρνησης εξυπηρέτησης σε ηλεκτρονικές διατάξεις), το Λογισµικό (διαγραφή ή αναστολή της εκτέλεσης προγράµµατος ή του Λ.Σ.), τα εδοµένα (π.χ. διαγραφή ή απώλεια δεδοµένων, επιθέσεις στο Σύστηµα Αρχείων file system) ή τις Γραµµές Επικοινωνίας (π.χ. βλάβη/επίθεση στους δροµολογητές ή στο µέσο µετάδοσης µε σκοπό τη διακοπή της επικοινωνίας). Ουσιαστικά αποτελούν επιθέσεις κατά της ιαθεσιµότητας (Availability) του Συστήµατος. Επιθέσεις Αλλοίωσης (Modification) - Μία οντότητα αποκτά µη εξουσιοδοτηµένη πρόσβαση µε σκοπό την αλλοίωση-τροποποίηση των περιεχοµένων ενός αγαθού. Οι επιθέσεις Αλλοίωσης µπορεί να έχουν ως στόχο το Υλικό (π.χ. φθορά ή επιθέσεις σε ηλεκτρονικές διατάξεις µε σκοπό την παράκαµψη µηχανισµών ασφάλειας π.χ. αλλαγή των δεδοµένων που καταγράφονται σε τακογράφους, αλλαγή στα κυκλώµατα των αποκωδικοποιητών συνδροµητικού περιεχοµένου κ.λ.π), το Λογισµικό (π.χ. αλλοίωση του κώδικα του προγράµµατος), ή τα εδοµένα του Συστήµατος (αλλοίωση των περιεχοµένων ενός αρχείου, των εγγραφών σε µια Β, αλλοίωση του ποσού πληρωµής σε µια συναλλαγή Ηλ/ Εµπορίου κλπ. Ουσιαστικά αποτελούν επιθέσεις κατά της Ακεραιότητας (Integrity) του Συστήµατος. 7
Επιθέσεις Εισαγωγής (Fabrication) - Ένα (µη αυθεντικό) αντικείµενο ή υποκείµενο εισέρχεται στο σύστηµα. Οι επιθέσεις Πλαστοπροσωπίας (Spoofing), παραπλανητικής αλληλογραφίας (Phishing), Ενδιάµεσης Οντότητας (Man in the Middle), καθώς και οι επιθέσεις Επανάληψης (replay attacks) αποτελούν υποπεριπτώσεις αυτής της κατηγορίας επιθέσεων. 20 Κατηγοριοποίηση επιθέσεων Υποκλοπή (Interception) Μία µη εξουσιοδοτηµένη οντότητα αποκτά πρόσβαση σε ένα αγαθό ιακοπή (Interruption) Ένα αγαθό χάνεται, γίνεται µη διαθέσιµο, ή τίθεται εν αχρηστία Αλλοίωση (Modification) Μία µη εξουσιοδοτηµένη οντότητα όχι µόνο αποκτά πρόσβαση αλλά σε ένα αγαθό, αλλά επιπλέον το αλλοιώνει-τροποποιεί Εισαγωγή (Fabrication) Ένα (µη αυθεντικό) αντικείµενο εισέρχεται στο σύστηµα Οι επιθέσεις Εισαγωγής µπορεί να έχουν ως στόχο το Υλικό (π.χ. αντικατάσταση ηλεκτρονικής διάταξης), το Λογισµικό (π.χ. αντικατάσταση του νοµίµου προγράµµατος µε κάποιο άλλο, συνήθως κακόβουλο πρόγραµµα), τα εδοµένα ή τους Ανθρώπους του συστήµατος (π.χ. επιθέσεις πλαστοπροσωπίας, IP/DNS spoofing, πλαστά πιστοποιητικά δηµόσιου κλειδιού, Phishing, επιθέσεις Ενδιάµεσης Οντότητας κλπ). Αποτελούν επιθέσεις κατά της Ακεραιότητας (Integrity) και της Αυθεντικότητας του Συστήµατος. Σηµείωση: Οι επιθέσεις Κοινωνικής Μηχανικής έχουν ως αρχικό στόχο τους ανθρώπους-µέλη του συστήµατος, µε απώτερο όµως σκοπό την πραγµατοποίηση µιας εκ των ως άνω επιθέσεων. Οι επιθέσεις κατά του Συστήµατος µπορούν επίσης να κατηγοριοποιηθούν σε Παθητικές και Ενεργητικές: Παθητικές (Passive): Επιθέσεις υποκλοπής κατά τις οποίες ο «εχθρός» αποκτά µη εξουσιοδοτηµένη πρόσβαση σε κάποιο αγαθό του συστήµατος. Αναφέρονται ως παθητικές επειδή ο «εχθρός» υποκλέπτει (και µόνον) το αγαθό χωρίς να τροποποιεί, να διαγράφει ή να εισάγει δεδοµένα που διακινούνται στο σύστηµα. 8
Ενεργητικές (Active): Ο εχθρός έχει τη δυνατότητα να εξαπολύσει επιθέσεις ιακοπής, Αλλοίωσης, ή Εισαγωγής. Οι ενεργητικές επιθέσεις θεωρούνται οι πλέον δύσκολες ως προς την αντιµετώπιση τους. Απαιτήσεις Ασφάλειας Ποιες είναι οι απαιτήσεις ασφάλειας που πρέπει να ικανοποιούνται σε ένα σύστηµα; Μια διαδεδοµένη κατηγοριοποίηση περιλαµβάνει τα εξής: Ιδιωτικότητα (Privacy). Η ιδιωτικότητα θεωρείται ένας αρκετά γενικός όρος. Στη βιβλιογραφία συναντάµε δύο επιπλέον έννοιες που σχετίζονται µε την ιδιωτικότητα: - Ανωνυµία (Anonymity): Απόκρυψη της ταυτότητας µιας οντότητας (υποκείµενο, πρόγραµµα, ηλεκτρονική διάταξη) που συµµετέχει σε µια συναλλαγή. - Εµπιστευτικότητα / Μυστικότητα (Confidentiality, Secrecy). Το περιεχόµενο των αποθηκευµένων ή µεταφερόµενων δεδοµένων προστατεύεται από µη εξουσιοδοτηµένη ανάγνωση-αντιγραφή (επιθέσεις υποκλοπής). Αυθεντικότητα (Authenticity, Authentication). Στη βιβλιογραφία, ο όρος συχνά σχετίζεται µε τις ακόλουθες έννοιες: - Ταυτοποίηση (Identification) ή Αυθεντικοποίηση Οντότητας (Entity Authentication): Με την ταυτοποίηση δίνεται απάντηση στο ερώτηµα «Ποιος είναι αυτός που θέλει να αποκτήσει πρόσβαση;» - Αυθεντικοποίηση Προέλευσης Μηνύµατος (Data Origin Authentication): ίνεται απάντηση στο ερώτηµα: «Ποιος έστειλε αυτό το µήνυµα;» - Εξουσιοδότηση (Authorization) ή Έλεγχος Προσπέλασης: Τα µοντέλα εξουσιοδότησης δίνουν απάντηση στο ερώτηµα «Τι µπορεί να κάνει αυτός που απέκτησε πρόσβαση;» - Μη αποποίηση Ευθύνης (Non-Repudiation): ίνεται (αρνητική) απάντηση στο ερώτηµα: «Μπορεί ο χρήστης Α να αρνηθεί ότι πραγµατοποίησε τη συναλλαγή;» Η απαίτηση της «µη αποποίησης Ευθύνης» βρίσκει σηµαντική εφαρµογή σε εφαρµογές Ηλεκτρονικού Εµπορίου. Παράδειγµα: Μπορεί ένα από τα συµβαλλόµενα µέρη σε µια ηλεκτρονική συναλλαγή, να αρνηθεί τη συναλλαγή; Ακεραιότητα (Integrity). Προστασία των αγαθών του συστήµατος από µη εξουσιοδοτηµένη τροποποίηση-αλλοίωση. Στη βιβλιογραφία, ο όρος συχνά σχετίζεται-ταυτίζεται µε την ιδιότητα της Αυθεντικότητας. Σηµείωση: Εάν ένα µήνυµα, κατά την µεταφορά του, τροποποιηθεί π.χ. εσκεµµένα από κάποιον τρίτο, τότε το µήνυµα, εκτός από την ακεραιότητα, χάνει επίσης την αυθεντικότητα του. 9
ιαθεσιµότητα (Availability). Εξασφάλιση της συνεχούς και αδιάλειπτης πρόσβασης στα [δεδοµένα / πληροφορίες / προγράµµατα / υπηρεσίες / υλικό] του συστήµατος. 1.3 Κρίσιµα Ερωτήµατα κατά το Σχεδιασµό της Ασφάλειας Α. Η προστασία θα επικεντρωθεί στα δεδοµένα, στις διαδικασίες, ή στους χρήστες; εδοµένα: Τεχνικές ελέγχου πρόσβασης (access control) µε τη χρήση εξειδικευµένων προγραµµάτων και εξοπλισµού ασφαλείας. ιαδικασίες: Η ασφάλεια επικεντρώνεται κυρίως στις διαδικασίες που ακολουθούνται (Organizational Security) και λιγότερο σε εξεζητηµένα τεχνολογικά µέσα. Για παράδειγµα, όταν οι χρήστες ταυτοποιούνται, η πολιτική ασφάλειας µπορεί να καθορίζει ότι κατά την ταυτοποίηση του χρήστη θα παρίσταται και ένα τρίτο εξουσιοδοτηµένο πρόσωπο (π.χ. προσωπικό ασφάλειας) ώστε, σε περίπτωση που το ηλεκτρονικό σύστηµα απορρίψει λανθασµένα (False Reject) την είσοδο στο σύστηµα, να ελέγχεται η ταυτότητα του ατόµου µε φυσικά µέσα. Συχνά οι διαδικασίες ασφάλειας περιγράφονται στα πλαίσια µιας Πολιτικής Ασφάλειας (Security Policy) και συµπληρώνονται ή/και υποβοηθούνται από τεχνολογικά µέσα. Χρήστες: ίνεται έµφαση στον ανθρώπινο παράγοντα, µε σκοπό τη γνώση για την αντιµετώπιση επιθέσεων κοινωνικής µηχανικής (π.χ. ενηµέρωση των χρηστών του συστήµατος για την προστασία τους από τεχνικές παραπλάνησης - phishing). Σηµείωση: Ένα ολοκληρωµένο σύστηµα ασφάλειας επικεντρώνεται εξίσου και στα τρεις κατηγορίες. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 37 B. Η προστασία θα επικεντρωθεί στην τεχνολογία, στις διαδικασίες, ήστουςχρήστες; 10
Β. Σε ποιο επίπεδο θα εφαρµόσουµε µηχανισµούς ασφάλειας; Σε γενικές γραµµές, όσο πιο χαµηλό είναι το επίπεδο στο οποίο ενσωµατώνονται κάποιος µηχανισµός ασφάλειας, τόσο πιο δύσκολη είναι η παράκαµψη του. Για παράδειγµα, ξεκινώντας από τα χαµηλά επίπεδα, η κατηγοριοποίηση έχει ως εξής: Υλικό. Παράδειγµα αποτελούν οι «έξυπνες» κάρτες (tamper-resistant smartcards) οποιαδήποτε προσπάθεια µη εξουσιοδοτηµένης ανάγνωσης των περιεχοµένων της κάρτας έχει ως αποτέλεσµα την αυτόµατη διαγραφή των δεδοµένων της κάρτας. Τονίζεται πως η παράκαµψη ενός µηχανισµού ασφάλειας που εφαρµόζεται σε αυτό το επίπεδο, ενδεχοµένως απαιτεί επαρκείς γνώσεις τεχνολογιών υλικού και αρχιτεκτονικής Η/Υ, καθώς επίσης και εξοπλισµό (συνήθως) υψηλού κόστους. Λειτουργικό Σύστηµα (Λ.Σ.). Οι µηχανισµοί ασφάλειας εφαρµόζονται στο επίπεδο του Λ.Σ. Παράδειγµα αποτελεί ο καθορισµός δικαιωµάτων πρόσβασης (permissions) στα σύγχρονα Λ.Σ. (τύπου Unix και Windows), τα αρχεία καταγραφής (log files) στο Λ.Σ., η δηµιουργία Τοµέων (Domains) στο Λ.Σ. Windows 2000 κλπ. Λογισµικό Εφαρµογών. Οι µηχανισµοί ασφάλειας εφαρµόζονται σε επίπεδο εφαρµογών χρήστη. Παραδείγµατα αποτελούν οι εφαρµογές ασφαλούς ηλεκτρονικής αλληλογραφίας (π.χ. PGP), οι τεχνολογίες ασφαλών συναλλαγών µέσω του ιαδικτύου (π.χ. SSΗ), καθώς και εφαρµογές τύπου antivirus, προσωπικά firewalls, anti-spyware, Ανιχνευτές Ευπαθειών (Vulnerability Scanners), Συστήµατα Ελέγχου Εισβολών (IDS), εφαρµογές Καταγραφής και Ελέγχου (Logging and Audit systems), προστασία από παράνοµη αντιγραφή (π.χ. συστήµατα DRM) κ.λ.π εδοµένα. Στο επίπεδο αυτό εφαρµόζονται τεχνολογίες προστασίας ή κρυπτογράφησης των δεδοµένων, ανεξαρτήτως της εφαρµογής που τα δηµιουργεί ή διαχειρίζεται. 11
Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 39 C. Σε ποιο επίπεδο θα ενσωµατώσουµε µηχανισµούς ασφάλειας; εδοµένα Λογισµικό Εφαρµογών Λειτουργικό Σύστηµα Υλικό Γ. Θα δoθεί έµφαση στην πρόληψη (prevention), ανίχνευση (detection), ή ανάνηψη (recovery) από παραβίαση ασφάλειας; Οι πλέον σηµαντικές πρακτικές στην ασφάλεια Η/Υ επικεντρώνονται σε τρεις κατευθύνσεις: Πρόληψη. Στόχος είναι η αποτροπή µιας επίθεσης κατά των αγαθών του συστήµατος, πριν αυτή συµβεί. Για παράδειγµα, η χρήση µίας πόρτας ασφαλείας στοχεύει στο να αποτρέψει τη µη εξουσιοδοτηµένη είσοδο σε ένα χώρο. Αντίστοιχα, η χρήση ενός συστήµατος firewall σε ένα δίκτυο αποσκοπεί στο να αποτρέψει τη µη εξουσιοδοτηµένη είσοδο (έξοδο) πακέτων σε (από) ένα δίκτυο. Τεχνολογίες όπως Έλεγχος Πρόσβασης σε επίπεδο Λ.Σ., ταυτοποίηση χρηστών, κρυπτογράφηση, ασφάλεια εφαρµογών, συστήµατα antivirus, ανιχνευτές ευπαθειών (vulnerability scanners) χρησιµοποιούνται κατά κόρον για να αποτρέψουν κάθε πιθανή εισβολή. Ανίχνευση. Ανεξαρτήτως του είδους και της ποσότητας των µέτρων πρόληψης που θα υιοθετηθούν, κανένα σύστηµα δε µπορεί να είναι 100% ασφαλές. Στο σχεδιασµό ασφάλειας θα πρέπει λοιπόν να ενσωµατωθούν πρακτικές οι οποίες έχουν ως στόχο να ανιχνεύσουν µια εισβολή, όταν και εφόσον αυτή συµβεί. Τα συστήµατα συναγερµού (alarm systems) αποτελούν το πλέον χαρακτηριστικό παράδειγµα στη φυσική ασφάλεια συστηµάτων. Σε επίπεδο εφαρµογών, ενδιαφέρον παρουσιάζουν τα Συστήµατα Ανίχνευσης Εισβολής (Intrusion Detection Systems) και τα προγράµµατα καταγραφής συµβάντων (logging & audit systems). Με τη χρήση των συστηµάτων IDS, είναι επίσης δυνατόν να περιοριστεί (ή ακόµα και να εξαλειφθεί) ένα περιστατικό εισβολής εν τη γενέσει του, εφόσον το IDS συνεργάζεται, σε πραγµατικό χρόνο, µε προγράµµατα αποτροπής (π.χ. firewalls). Ανάνηψη-Επαναφορά. Τα µέτρα ανάνηψης είναι µέτρα προστασίας που στοχεύουν στο να µειώσουν τον απαιτούµενο χρόνο για την ανάκαµψη µετά από 12
την εκδήλωση επίθεσης. Για παράδειγµα, η ασφαλιστική κάλυψη στοχεύει στο να αποκατασταθούν οι ζηµιές από µία ενδεχόµενη κλοπή ή φυσική καταστροφή. Αντίστοιχα η λήψη αντιγράφων ασφάλειας (backup) σε ένα υπολογιστικό σύστηµα στοχεύει να ελαχιστοποιήσει τις απώλειες και να επισπεύσει το χρόνο ανάκαµψης ενός συστήµατος από µία πιθανή διακοπή λειτουργίας. Η βιωσιµότητα (survivability) ή αλλιώς Συνέχιση Λειτουργίας (Continuity) ενός συστήµατος εξασφαλίζεται µε τεχνικές όπως: αυτόµατη λήψη (ή/και επαναφορά) Αντιγράφων Ασφαλείας (backup), εργαλεία αφαίρεσης κακόβουλου λογισµικού, συστήµατα Πλεονασµού (redundancy) και Ανοχής Λαθών (fault-tolerant systems) όπως συστοιχίες RAID, τεχνικές hot swapping, συστήµατα UPS, εφεδρικές γραµµές επικοινωνίας, τεχνικές load balancing κ.α. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 40 D. Θα δωθεί έµφαση στην πρόληψη (prevention), ανίχνευση (detection), ή ανάνηψη (recovery) από παραβίαση ασφάλειας; Κλείδωσε τα Παρακολούθησε τα Αν κλαπούν ή Αλλοιωθούν, Ανάκτησε τα Κόστος Ασφάλειας (Security Cost). Η οποιαδήποτε επιβάρυνση προκύπτει από τη χρήση ενός µέτρου προστασίας. Το κόστος µπορεί να αφορά την αγορά, εγκατάσταση και συντήρηση του µηχανισµού προστασίας, το λειτουργικό κόστος καθώς και τα κόστη εργασίας του εµπλεκόµενου προσωπικού.. Ασφάλεια εναντίον Λειτουργικότητας Είναι σαφές ότι όσο περισσότεροι και πολύπλοκοι είναι οι µηχανισµοί ασφάλειας που υιοθετούνται, τόσο λιγότερη είναι η λειτουργικότητα-ευελιξία για τους χρήστες και διαχειριστές του συστήµατος. Ένα ιδανικό σύστηµα π.χ. που θα απαιτούσε από τους χρήστες να παρέχουν, εκτός από τον κωδικό password, το δαχτυλικό τους αποτύπωµα καθώς και το αποτύπωµα της ίριδας τους, θα ήταν ιδιαίτερα ασφαλές, ωστόσο δε θα ήταν καθόλου λειτουργικό. Οι µηχανισµοί ασφάλειας που ενσωµατώνονταιυιοθετούνται κατά την κατάρτιση µιας Πολιτικής Ασφάλειας για την επιχείρηση/οργανισµό, θα πρέπει να λαµβάνουν υπ όψιν α) την αξία των αγαθών της επιχείρησης, β) το µοντέλο απειλών και γ) τη λειτουργικότητα και το µέγεθος των οικονοµικών πόρων που είµαστε διατεθειµένοι να καταναλώσουµε προκειµένου να επιτύχουµε ένα αποδεκτό επίπεδο προστασίας. Η χρυσή τοµή στο αντιστάθµισµα 13
(trade-off) µεταξύ ασφάλειας και (λειτουργικότητας & κόστος), αποτελεί τη βέλτιστη λύση. Σηµείωση: Σε κάθε πληροφοριακό και δικτυακό σύστηµα, κατά τις διαδικασίες ανάπτυξης και συντήρησης του, θα πρέπει να πραγµατοποιείται µια Ανάλυση Επικινδυνότητας (Risk Analysis) µε σκοπό την επιλογή των µηχανισµών προστασίας που θα µειώσουν τους κινδύνους σε αποδεκτά για την επιχείρηση/οργανισµό επίπεδα. ιαχείριση Επικινδυνότητας: Στόχος Ασφάλειας 38 Στόχος της ασφάλειας (Infosec goal) Οαντικειµενικός σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού, να καθορίσει την επιθυµητή ισορροπία µεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά Κόστος Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόµενο Όφελος Ε. Κεντρική ιαχείριση ή Αποκεντρωµένη ιαχείριση Κεντρική ιαχείριση. Η στρατηγική κεντρικής διαχείρισης των µηχανισµών ασφάλειας προσφέρει µεγαλύτερη ασφάλεια, καθώς ο έλεγχος επικεντρώνεται σε ένα σηµείο (π.χ. στον Domain Server ενός δικτύου Η/Υ), ενώ απαιτείται ένας περιορισµένος αριθµός διαχειριστών. Για παράδειγµα, σε ένα δίκτυο Η/Υ που είναι οργανωµένο σε Τοµείς (Domains), οι χρήστες συνδέονται (login) και ταυτοποιούνται στον Εξυπηρετητή Τοµέα (Domain Server), όπου και εφαρµόζεται η πολιτική εξουσιοδότησης. Τα αρχεία των χρηστών διατηρούνται στον server, κάτι που καθιστά πιο εύκολη την κατάστρωση της πολιτικής πρόσβασης και τη λήψη αντιγράφων ασφάλειας. Ο server µπορεί επίσης να λειτουργεί και ως proxy για τη σύνδεση στον Ιστό (Web), φιλτράροντας έτσι την εισερχόµενη ή/και εξερχόµενη κίνηση από και προς το Web. Σηµείωση: Όταν ο έλεγχος ασκείται κεντρικά από (σε) ένα σηµείο, τότε το σηµείο αυτό παρουσιάζει και το µεγαλύτερο ενδιαφέρον για έναν δυνητικό εισβολέα. Αν καταρρεύσει το σηµείο αυτό τότε διακυβεύεται η λειτουργία ολόκληρου του συστήµατος Αποκεντρωµένη ιαχείριση. Ο έλεγχος δεν ασκείται κεντρικά σε (από) ένα σηµείο, αλλά κατανέµεται σε περισσότερους από έναν ελεγκτές. Στο µοντέλο οµότιµων σταθµών εξυπηρέτησης (Peer to Peer), ο έλεγχος κατανέµεται εξίσου σε όλους τους 14
κόµβους του δικτύου. Η στρατηγική αποκεντρωµένης διαχείρισης προσφέρει λιγότερη ασφάλεια και δυσκολότερη διαχείριση, αλλά περισσότερη λειτουργικότητα. ΣΤ. Τεχνικά και Μη Τεχνικά Μέσα Τεχνικά µέσα. Στα τεχνικά µέσα συµπεριλαµβάνονται όλες οι τεχνικές ελέγχου λογικής πρόσβασης (Logical Access Control) που αναφέραµε και που θα µελετήσουµε στη συνέχεια, καθώς και οι τεχνολογίες ανίχνευσης και αντιµετώπισης εισβολών. Μη τεχνικά µέσα. Συχνά οι τεχνολογίες ελέγχου λογικής πρόσβασης συµπληρώνονται από επικουρικά µέτρα προστασίας. Για παράδειγµα, οι ισχύοντες νόµοι σε εθνικό ή παγκόσµιο επίπεδο συµβάλουν στην αποτροπή-πρόληψη επιθέσεων. Λόγω της αυξανόµενης διείσδυσης του Internet και του Ηλεκτρονικού Εµπορίου, οι νόµοι περί της προστασίας των καταναλωτών, οι νόµοι περί προστασίας πνευµατικής ιδιοκτησίας καθώς και περί ηλεκτρονικών εγκληµάτων παρουσιάζουν το µεγαλύτερο ενδιαφέρον. Μια άλλη κατηγορία συνιστούν οι έλεγχοι φυσικής πρόσβασης και ανίχνευσης, π.χ. ασφάλεια κτιρίου, προσωπικό ασφαλείας, ασφαλείς εγκαταστάσεις, γεννήτριες ρεύµατος κ.λ.π. Ένα άλλο παράδειγµα ελέγχου φυσικής πρόσβασης είναι η τοποθέτηση των «κρίσιµων» (από τη σκοπιά της ασφάλειας) υπολογιστικών συστηµάτων και άλλων ηλεκτρονικών διατάξεων σε ασφαλείς χώρους µε ελεγχόµενη πρόσβαση. Η ενηµέρωση των χρηστών του συστήµατος αποτελεί επίσης ένα «µη τεχνικό» µέσο προστασίας. Η πολιτική του οργανισµού µπορεί να προβλέπει τη διεξαγωγή, σε τακτά χρονικά διαστήµατα, σεµιναρίων µε σκοπό την ενηµέρωση των χρηστών του συστήµατος για τις απειλές παραπλάνησης (phishing) και Κοινωνικής Μηχανικής (Social Engineering). 1.4 Πολιτικές Ασφάλειας Σε έναν οργανισµό (επιχείρηση, δηµόσιο φορέα κτλ), ενδέχεται να ορίζονται Πολιτικές για διάφορα ζητήµατα, όπως Πολιτική Ποιότητας, Πολιτική Ρύθµισης Σχέσεων µε Πελάτες κτλ, όπου κάθε µία από τις οποίες καθορίζει τη στρατηγική του οργανισµού για αυτά τα ζητήµατα. Όπως έχει ήδη αναφερθεί οι περισσότεροι σύγχρονοι οργανισµοί στηρίζουν πολλές από τις βασικές επιχειρηµατικές λειτουργίες τους σε Τεχνολογίες Πληροφορίας και Επικοινωνιών (ΤΠΕ). Συνεπώς η ασφάλεια των ΤΠΕ είναι επίσης πολύ σηµαντική για την εύρυθµη λειτουργία του οργανισµού. Ως εκ τούτου, οι οργανισµοί πρέπει να καθορίζουν τη στρατηγική για την ασφάλεια των πληροφοριών και των συστηµάτων τους µέσα από µία Πολιτική Ασφάλειας ΤΠΕ (ή απλώς, Πολιτική Ασφάλειας). Ως «Πολιτική Ασφάλειας» ορίζεται το έγγραφο εκείνο το οποίο µε επίσηµο και δοµηµένο τρόπο καθορίζει τις γενικές αρχές που πρέπει να ισχύουν για την ασφάλεια των: πληροφοριών, πληροφοριακών συστηµάτων, 15
δικτύων και υποδοµών ενός οργανισµού για την επαρκή προστασία τους από τους υφιστάµενους πληροφοριακούς κινδύνους. Σηµειώνεται ότι µία Πολιτική Ασφάλειας δεν καθορίζει τους πληροφοριακούς κινδύνους που αντιµετωπίζει ένας οργανισµός, ούτε και το επίπεδο αυτών των κινδύνων. Αυτή η διαδικασία του καθορισµού και της µέτρησης των πληροφοριακών κινδύνων γίνεται στο προηγούµενο στάδιο της Ανάλυσης Πληροφοριακού Κινδύνου. Η σύνταξη (ή σε περίπτωση που ήδη υπάρχει, η τροποποίηση) της Πολιτικής Ασφάλειας θα µπορούσε να θεωρηθεί ως µέρος της ιαχείρισης Πληροφοριακού Κινδύνου, εφόσον αφορά το στρατηγικό σχεδιασµό για τη µετέπειτα λήψη των κατάλληλων µέτρων ασφάλειας τα οποία και θα µειώνουν τους υφιστάµενους πληροφοριακούς κινδύνους. Συνεπώς, η Πολιτική Ασφάλειας βοηθά στην αποτελεσµατική διαχείριση του υφιστάµενου κινδύνου. Μάλιστα, για να ανταποκρίνεται στις πραγµατικές ανάγκες ασφάλειας ενός οργανισµού, η Πολιτική Ασφάλειας θα πρέπει να χρησιµοποιεί τα αποτελέσµατα της ανάλυσης κινδύνου (risk analysis), ώστε να εστιάζει στα πραγµατικά προβλήµατα ασφάλειας που αντιµετωπίζει ο οργανισµός και στον απαιτούµενο βαθµό. Πηγές για την Ανάπτυξη µιας Πολιτικής Ασφάλειας Η ανάπτυξη της Πολιτικής πρέπει να βασίζεται σε διάφορε πηγές, οι οποίες αφενός µεν θα εστιάζουν στα συγκεκριµένα προβλήµατα ασφάλειας του οργανισµού, αφετέρου δε θα δίδουν γενικές κατευθύνσεις µε βάση τις διεθνώς αποδεκτές βέλτιστες πρακτικές. Οι πηγές αυτές περιλαµβάνουν: 1. Αποτελέσµατα Ανάλυσης Επικινδυνότητας Aξιολογείται η αξία των αγαθών, οι αδυναµίες του συστήµατος, οι (εσωτερικές και εξωτερικές) απειλές και υπολογίζεται το επίπεδο κινδύνου για κάθε συνδυασµό (Αγαθό, Αδυναµία, Απειλή) Επίπεδο Κινδύνου Είναι απαραίτητα ώστε η Πολιτική που θα αναπτυχθεί να αντιµετωπίζει τους υφιστάµενους κινδύνους και να µην είναι γενικόλογη και αόριστη Η πολιτική θα θέτει το πλαίσιο για τη λήψη των κατάλληλων τεχνικών και οργανωτικών µέτρων για την αντιµετώπιση των κινδύνων 2. Πρότυπα Ασφάλειας και Συστάσεις Ασφάλειας Είναι γενικές κατευθύνσεις που µπορούν να χρησιµοποιηθούν για την ανάπτυξη µίας πολιτικής Παράγονται από διεθνείς οργανισµούς τυποποίησης όπως ISO, BSI, κτλ ή από οργανισµούς που ασχολούνται µε ζητήµατα ασφάλειας όπως NIST, Open Forum κτλ. Τα πρότυπα αναπτύσσονται συνήθως λαµβάνοντας υπόψη κοινά ζητήµατα και προβλήµατα ασφάλειας τα οποία και οµαδοποιούν Οι συστάσεις έχουν πάντα συµβουλευτικό χαρακτήρα. 16
3. Νοµοθεσία Μπορεί να περιλαµβάνει Εθνική Νοµοθεσία, Κοινοτική Νοµοθεσία/Οδηγίες, Κανονισµούς Ρυθµιστικών Αρχών (Αρχή Προστασίας εδοµένων Προσωπικού Χαρακτήρα, Αρχή ιασφάλισης του Απορρήτου των Επικοινωνιών κτλ) Θα πρέπει να λαµβάνεται υπόψη κατά την ανάπτυξη µίας πολιτικής ώστε να ικανοποιούνται οι απαιτήσεις συµβατότητας ενός οργανισµού µε το νοµικό και ρυθµιστικό πλαίσιο της χώρας Παραδείγµατα: - Προστασία από την επεξεργασία προσωπικών δεδοµένων - ιασφάλιση απορρήτου επικοινωνιών - Προστασία Πνευµατικών ικαιωµάτων - Παρεµπόδιση ποινικών εγκληµάτων. 1.5 Λάθη κατά το Σχεδιασµό Ασφάλειας Ένα Σύστηµα αποτελείται από υποκείµενα (subjects) που επικοινωνούν µεταξύ τους βάσει ορισµένων κανόνων. Εποµένως, κατά το σχεδιασµό της ασφάλειας του συστήµατος θα πρέπει να λάβουµε υπ όψιν τα τρία αυτά δοµικά στοιχεία. Υποκείµενα του Συστήµατος: Μπορεί να είναι άνθρωποι, προγράµµατα, Η/Υ και άλλες ηλεκτρονικές (ή µη) διατάξεις. Μέσα Επικοινωνίας: Η δικτυακή και τηλεπικοινωνιακή υποδοµή (ενσύρµατη ή ασύρµατη) που χρησιµοποιείται. Πρωτόκολλα: Ένα πρωτόκολλο είναι ένα σύνολο κανόνων-διαδικασιών που ακολουθούνται-τηρούνται από τα υποκείµενα (subjects) του συστήµατος. Τα πληροφοριακά συστήµατα µεγάλης εµβέλειας (π.χ. χρηµατοοικονοµικά συστήµατα συναλλαγών µεταξύ τραπεζών, ενδο-νοσοκοµειακά ή δια-νοσοκοµειακά συστήµατα πληροφορικής) οµολογουµένως περιέχουν ένα ευρύ πλέγµα τέτοιων κανόνων-διαδικασιών, οι οποίες αλληλεπιδρούν, αλληλο-συµπληρώνονται ή πολλές φορές αλληλο-συγκρούονται. Ο σχεδιασµός της ασφάλειας ενός τέτοιου συστήµατος καθίσταται εξ ορισµού µια ιδιαιτέρως πολύπλοκη και δύσκολη διαδικασία. Λάθη στο Σχεδιασµό Μελέτη Περίπτωσης (Anderson, 2001): Στο παρελθόν ορισµένες τράπεζες κρυπτογραφούσαν το PIN του πελάτη τους χρησιµοποιώντας ένα (συµµετρικό) κλειδί το οποίο ήταν γνωστό στα ΑΤΜ και στα κεντρικά συστήµατα της τράπεζας. Το κρυπτογραφηµένο PIN αποθηκευόταν στην µαγνητική ταινία της κάρτας του πελάτη. Ο έλεγχος του PIN γινόταν τοπικά από το ATM, και στη συνέχεια το αίτηµα εκτέλεσης προωθούνταν στο κεντρικό σύστηµα. Επίθεση: Ένας προγραµµατιστής κατάφερε να επέµβει στα περιεχόµενα της µαγνητικής ταινίας της κάρτας του. Συγκεκριµένα αντικατέστησε τον αριθµό λογαριασµού του µε τον αριθµό λογαριασµού της συζύγου του. Στη συνέχεια, χρησιµοποιώντας την κάρτα του και το 17
PIN του, κατάφερε να πραγµατοποιήσει ανάληψη από το λογαριασµό της συζύγου του µέσω ΑΤΜ. Αργότερα χρησιµοποίησε την τεχνική αυτή για να πραγµατοποιήσει ανάληψη χρηµάτων και από άλλους πελάτες, των οποίων ήξερε ή µάθαινε τον αριθµό λογαριασµού τους. Μελέτη Περίπτωσης: Ηλεκτρονικές Κλειδαριές Αυτοκινήτων - Στα µέσα της δεκαετίας του 90 τα πρώτα συστήµατα συναγερµού λειτουργούσαν ως εξής: µία συσκευή remote control εξέπεµπε έναν σειριακό αριθµό 16-bit, που ουσιαστικά αποτελούσε έναν κωδικό (password). Λίγο αργότερα εµφανίστηκαν ειδικές συσκευές (grabbers) που µπορούσαν να υποκλέψουν τον κωδικό και (αργότερα) να τον αναπαράγουν, προκειµένου να «ξεκλειδώσουν» το αυτοκίνητο. Λύση Α: ηµιουργήθηκαν ξεχωριστοί κωδικοί για το κλείδωµα και το ξεκλείδωµα της ηλεκτρονικής κλειδαριάς. Η λύση αυτή δεν ήταν επαρκής, καθώς ο «κακός» θα µπορούσε να υποκλέψει τον κωδικό την ώρα που ξεκλειδώνει το αµάξι, και να τον αναπαράγει κάποια στιγµή αργότερα (όταν ο κάτοχος θα απουσίαζε). Λύση Β: Αύξηση του µήκος του κωδικού, από 16 σε 32 bit. Προφανώς ούτε η λύση αυτή επίλυε το πρόβληµα µε τις συσκευές υποκλοπής (grabbers). Λάθη λόγω Αλλαγής στο Περιβάλλον Μελέτη Περίπτωσης: Τόπος & Πλαίσιο: Ολλανδία (1993, 1994). Πολλοί πελάτες τραπεζών διαµαρτυρήθηκαν πως εξαφανίστηκαν χρήµατα από το λογαριασµό τους. Οι τράπεζες ισχυριζόταν πως τα συστήµατα τους ήταν ασφαλή. Λόγω της διάστασης που έλαβε το πρόβληµα, οι τράπεζες αποφάσισαν να το διερευνήσουν. Αιτία του προβλήµατος: Η έρευνα έδειξε ότι οι περισσότερες συναλλαγές υπό αµφισβήτηση είχαν εκτελεστεί σε ένα συγκεκριµένο µηχάνηµα ΑΤΜ, σε ένα πρατήριο καυσίµων στην Utrecht. Κάποιος υπάλληλος του πρατηρίου είχε «παγιδεύσει» τη γραµµή που συνέδεε τον αναγνώστη κάρτας (card reader) µε το PC που βρίσκονταν στο εσωτερικό του ATM, και υπέκλεπτε τα δεδοµένα της µαγνητικής ταινίας της κάρτας, καθώς αυτά µεταφέρονταν από τον reader στο PC. Αλλαγή του περιβάλλοντος: Τα πρότυπα (standards) διαχείρισης συναλλαγών µε κάρτες µαγνητικής ταινίας αναπτύχθηκαν στις αρχές της δεκαετίας του 80. Κατά τη σχεδίαση των προτύπων, θεωρήθηκε ως δεδοµένο ότι το δίκτυο µεταφοράς είναι ασφαλές. Η υπόθεση αυτή ίσχυε στο βαθµό όπου οι αναλήψεις γίνονταν µέσω ΑΤΜ τοποθετηµένων σε τράπεζες, που συνδεόταν µε το υπόλοιπο τραπεζικό δίκτυο µέσω ασφαλών (µισθωµένων) καναλιών επικοινωνίας. Ωστόσο σήµερα, το περιβάλλον των συναλλαγών έχει αλλάξει, και οι αναλήψεις γίνονται από µη ελεγχόµενα σηµεία. Ένα απλό πρωτόκολλο Ταυτοποίησης Στο πρωτόκολλο που φαίνεται στο σχήµα, ο ρόλος του Α µπορεί να αντιστοιχηθεί µε το τηλεχειριστήριο ξεκλειδώµατος του αυτοκινήτου, και ο ρόλος του Β µε την κλειδαριά του αυτοκινήτου. O A εκπέµπει (π.χ. ασύρµατα, µέσω υπέρυθρης ακτινοβολίας) ένα σειριακό αριθµό (ο οποίος µπορεί να θεωρηθεί ότι αντιστοιχεί στην ταυτότητα του Α), και στη συνέχεια στέλνει ένα µήνυµα Μ = { Α, Ν } ΚΑ το οποίο αποτελείται από τον αριθµό Α και έναν τυχαίο αριθµό Ν, κρυπτογραφηµένα µε ένα κλειδί ΚΑ, µοναδικό για τη συσκευή Α. Το κλειδί Κ το γνωρίζουν µόνον ο Α και ο Β. Ταυτοποίηση: Ο Β διαβάζει τον αριθµό Α, ανακτά από το αρχείο του το κλειδί ΚΑ, αποκρυπτογραφεί το µήνυµα Μ, και στη συνέχεια α) ελέγχει εάν το Μ περιέχει 18
τον αριθµό Α, και β) ελέγχει εάν ο αριθµός Ν έχει χρησιµοποιηθεί ξανά στο παρελθόν. Ένα απλό πρωτόκολλο Ταυτοποίησης (Identification) 51 A Β: Α, {Α,Ν} ΚΑ A= Η ταυτότητα του Α (π.χ. ένας 16-bit σειριακός αριθµός) Ν = Ένας τυχαίος αριθµός ΚΑ = Ένα µυστικό κλειδί έχει µόνον ο Α (και ο Β) {Α,Ν} ΚΑ = Τα Α και Ν κρυπτογραφούνται µε τοκλειδίκα. Παρατηρήσεις: Στο παραπάνω πρωτόκολλο, η ασφάλεια του συστήµατος δε στηρίζεται στη µυστικότητα του αριθµού Α, αλλά στη µυστικότητα του κλειδιού ΚΑ. Επίσης, ο αριθµός Ν είναι ένας τυχαίος αριθµός που χρησιµοποιείται µόνον µια φορά (Number used ONCE - nonce). Έτσι, οι επιθέσεις επανάληψης (replay attacks) καθίστανται πιο δύσκολες (η κλειδαριά δεν πρόκειται να αποδεχθεί ποτέ ως αυθεντικό ένα µήνυµα ακριβώς ίδιο µε το προηγούµενο που έλαβε). Λάθη στη σχεδίαση: Στο προηγούµενο παράδειγµα ταυτοποίησης, κάποια συστήµατα ήλεγχαν εάν ο τυχαίος αριθµός (π.χ. Ν_2) είναι ίδιος µε τον αµέσως προηγούµενο αριθµό (π.χ. Ν_1). Το λάθος είναι προφανές: ο «κακός» χρησιµοποιεί µια συσκευή grabber και υποκλέπτει µια σύνοδο (session) επιτυχούς ταυτοποίησης. Στη συνέχεια, αναµένει την επόµενη σύνοδο ταυτοποίησης του κατόχου. Μόλις αυτή ολοκληρωθεί, ο «κακός» εκτελεί το πρωτόκολλο ταυτοποίησης (υποκρινόµενος τον κάτοχο) µε το σύστηµα, αναπαράγει τη σύνοδο που είχε υποκλέψει και παραβιάζει (µε επιτυχία) το µηχανισµό ελέγχου πρόσβασης. Άλλα προβλήµατα: Ένα ερώτηµα που τίθεται σε τέτοιου είδους πρωτόκολλα είναι: «Πόσες τιµές Ν θα πρέπει ο Β να «θυµάται» ώστε να αποτρέπονται επιθέσεις επανάληψης;» Μία λύση θα ήταν η χρήση ενός µετρητή (counter): η κλειδαριά θα δέχεται τιµές: Ν, Ν+1, Ν+2. ως έγκυρες. Ωστόσο τέτοιου είδους λύσεις δεν είναι ικανοποιητικές: Τι θα συµβεί, για παράδειγµα, αν ο κάτοχος ενεργοποιήσει κατά λάθος το µηχανισµό ταυτοποίησης, αυξάνοντας τον µετρητή; Σύµφωνα µε ένα ακραίο σενάριο, ένας «κακός» µε πρόσβαση στο µηχανισµό ταυτοποίησης θα µπορούσε να τον ενεργοποιήσει και χρησιµοποιώντας µια συσκευή grabber να υποκλέψει τον επόµενο έγκυρο αριθµό π.χ. N+3. 19
Τεχνικές Πρόκλησης-Απάντησης (Challenge-Response) Τα σύγχρονα πρωτόκολλα ταυτοποίησης χρησιµοποιούν τεχνικές «πρόκλησηςαπάντησης» (challenge-response). H οντότητα Β που ταυτοποιεί (Verifier) αποστέλλει έναν τυχαίο αριθµό Ν, ενώ η οντότητα Α που ταυτοποιείται, συνδυάζει τον αριθµό Ν µε ένα µυστικό (π.χ. ένα κλειδί κρυπτογράφησης) που είναι γνωστό στους Α και Β, ώστε να παράγει το µήνυµα που στέλνεται τελικώς στον Β. Σηµείωση: Οι τεχνικές κατά τις οποίες η ταυτοποίηση βασίζεται στην από κοινού γνώση του ίδιου µυστικού, ονοµάζονται και συµµετρικές (symmetric). Στην Ενότητα 6 θα αναφερθούµε επίσης στις ασύµµετρες τεχνικές (π.χ. ψηφιακή υπογραφή µε τη γνώση ενός ιδιωτικού κλειδιού). Μελέτη περίπτωσης: Πρωτόκολλα Challenge- Response (πρόκληση/ απάντηση) 53 Προφύλαξη ενάντια σε επιθέσεις επανάληψης (replay attacks) Παράδειγµα: Κωδικοί µιας Χρήσης (One time Passwords). Ο χρήστης δέχεται έναν τυχαίο αριθµό-πρόκληση (challenge) Ν από τον server, µήκους π.χ. 8 ψηφίων. Ο χρήστης πληκτρολογεί τον αριθµό Ν σε µια ειδική συσκευή (γεννήτορας κωδικών - password generator), µαζί µε έναν αριθµό PIN µήκους 4 ψηφίων (ο αριθµός αυτός χρησιµεύει για την ταυτοποίηση του χρήστη από τη συσκευή). Η συσκευή κρυπτογραφεί τα 12 ψηφία µε ένα µυστικό κλειδί Κ, το οποίο γνωρίζει µόνον η συσκευή και o server. Στη συνέχεια, η συσκευή εµφανίζει στην οθόνη τα πρώτα 8 ψηφία του αποτελέσµατος. Ο χρήστης πληκτρολογεί στη συσκευή εισόδου του server τα 8 ψηφία. Ο server χρησιµοποιεί το κλειδί Κ, αποκρυπτογραφεί το µήνυµα που έλαβε, και ελέγχει εάν περιέχεται ο σωστός αριθµός Ν. Αν ναι, ο χρήστης γίνεται δεκτός από το σύστηµα. Τα πρωτόκολλα πρόκλησης-απάντησης δεν είναι αλάνθαστα. Στο γνωστό, ιστορικό παράδειγµα του πολέµου µεταξύ Ν. Αφρικής-Αγκόλας, η πολεµική αεροπορία των δυο αντιµαχόµενων δυνάµεων χρησιµοποιούσε τα γνωστά συστήµατα αναγνώρισης 20
αεροσκαφών IFF (Identification Friend-or-Foe). Τα συστήµατα αυτά βασιζόταν σε µια παραλλαγή του πρωτοκόλλου πρόκλησης-απάντησης που εξετάστηκε προηγουµένως. Στη συνέχεια περιγράφουµε την επίθεση επανάληψης (replay attack) που υπέστησαν τα συστήµατα IFF της Ν. Αφρικής, και που είχαν ως συνέπεια τον τερµατισµό του πολέµου: 1) Η Ν. Αφρική στέλνει αεροσκάφη (SA) για επίθεση στην Αγκόλα 2) Η Αγκόλα διατηρεί έναν αριθµό αεροσκαφών (ANG) σε ετοιµότητα, σε περιοχή κοντά στην Ν. Αφρική 3) Τα αεροσκάφη ANG απογειώνονται και πλησιάζουν τα αντιαεροπορικά συστήµατα (SAAF) της Ν. Αφρικής 4) Τα συστήµατα SAAF στέλνουν έναν αριθµό-πρόκληση (challenge) Ν στα αεροσκάφη ANG. 5) Τα αεροσκάφη ANG προωθούν τον αριθµό N στα αντιαεροπορικά συστήµατα (SAMS) της Αγκόλα. 6) Τα συστήµατα SAMS προωθούν τον αριθµό N στα αεροσκάφη SA. 7) Τα αεροσκάφη SA απαντούν µε την έγκυρη απάντηση [Ν] Κ 8) Τα συστήµατα SAMS προωθούν την απάντηση στα φιλικά αεροσκάφη ANG 9) Τα αεροσκάφη ANG απαντούν στα συστήµατα SAAF µε τον σωστό κωδικό [N] Κ 10) Tα συστήµατα SAAF αφήνουν τα αεροσκάφη ANG να διαπεράσουν την περίµετρο ασφάλειας. H Επίθεση MIG-in the MIDDLE (Anderson) Cuban MIG {N} K 6 South African bomber {N} K Response Secret key K 5 {N} K N 2 4 3 1 Challenge N Retransmit challenge N Secret key K Namibia Response correct! Angola http://www.cs.utexas.edu/~shmat/courses/cs378_spring05/03auth.ppt 21
Σηµείωση: Οι επιθέσεις αυτές είναι γνωστές και ως Επιθέσεις Ενδιάµεσης Οντότητας (Man in the Middle attacks). H Επίθεση Mafia in the Middle 1 4 2 3 5 6 Η χρήση ψηφιακών υπογραφών (Digital Signatures), δεν επιλύει από µόνη της τα προβλήµατα επιθέσεων Ενδιάµεσης Οντότητας. Στο παράδειγµα του σχήµατος, ένας χρήστης Α, επισκέπτεται ένα δικτυακό τόπο S (θεωρούµε ότι o A έχει ήδη πραγµατοποιήσει εγγραφή στο site S, κάποια στιγµή στο παρελθόν). To site S ταυτοποιεί τον Α χρησιµοποιώντας ένα πρωτόκολλο πρόκλησης-απάντησης. Ταυτόχρονα, το site S, γνωρίζοντας τα στοιχεία της ταυτότητας του A, επιχειρεί να κάνει ανάληψη ηλεκτρονικών νοµισµάτων από µια τράπεζα T της οποίας ο A είναι πελάτης. Αν υποθέσουµε ότι τόσο η τράπεζα όσο και το site S χρησιµοποιούν τον ίδιο µηχανισµό ταυτοποίησης, η επίθεση είναι επιτυχής, όπως φαίνεται και στο σχήµα. Συµπεράσµατα: 1) Η χρήση του ίδιου µυστικού (κλειδιά, κωδικοί κ.λ.π) σε περισσότερα από ένα περιβάλλοντα, κρίνεται επισφαλής. 2) Το κείµενο που αυθεντικοποιείται (π.χ. µε ψηφιακή υπογραφή ή µε συµµετρικά πρωτόκολλα ταυτοποίησης), θα πρέπει να περιέχει όσο το δυνατόν περισσότερες πληροφορίες σχετικές µε τη συναλλαγή που πραγµατοποιείται (π.χ. το είδος συναλλαγής, τα ονόµατα των οντότητων που συµµετέχουν κ.λ.π). Στο προηγούµενο παράδειγµα, εάν ο πελάτης υπέγραφε, το µήνυµα [Χ, customer, porn_site], η επίθεση δεν θα ήταν επιτυχής. 22