Managing Information Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business e-mail: kyritsis@ist.edu.gr
Ασφάλεια Πληροφοριακών Συστημάτων
Learning Objectives Για ποιό λόγο είναι τα Πληροφοριακά συστήματα ευπαθή σε καταστροφή, σφάλματα και κακή χρήση? Ποιά είναι τα συστατικά ενός οργανωσιακού πλαισίου δράσης για την ασφάλεια και τον έλεγχο? Ποιά είναι τα σημαντικότερα εργαλεία και τεχνολογίες για τη διασφάλιση των πληροφοριακών πόρων?
Ορισμός Ασφάλειας και Ελέγχων Ασφάλεια (Security): Αναφέρεται στις πολιτικές, τις διαδικασίες και τα τεχνικά μέτρα που χρησιμοποιούνται προκειμένου να εμποδιστεί η πρόσβαση, αλλοίωση, κλοπή ή υλική ζημιά των πληροφοριακών συστημάτων από παρείσακτους. Έλεγχοι (Controls): Οι πολιτικές, οι μέθοδοι και οι επιχειρηματικές διαδικασίες που εγγυώνται την ασφάλεια των περιουσιακών στοιχείων του οργανισμού, την ακρίβεια και αξιοπιστία των εγγραφών του και την τήρηση των κανόνων διαχείρισης.
Γιατί είναι τρωτά τα Πληροφοριακά Συστήματα? Τα Πληροφοριακά Συστήματα συνδέονται μέσω δικτύων τηλεπικοινωνίας Η δυνατότητα μη-εξουσιοδοτημένης πρόσβασης δεν περιορίζεται σε μια θέση μόνο Λάθη εισαγωγής από τους χρήστες Κλοπή πολύτιμων δεδομένων κατά τη μετάδοση Κακόβουλο λογισμικό που αλλοιώνει ή καταστρέφει εταιρικά αρχεία Υλική ζημιά στο δίκτυο (τοίχος προστασίας) Τα δεδομένα βρίσκονται αποθηκευμένα εκτός ελέχγου της εταιρίας (εταιρικές συμπράξεις).
Είδη επιθέσεων στα Πληροφοριακά Συστήματα
Αδύνατα σημεία του Διαδικτύου Είναι περισσότερο ευάλωτο από τα εσωτερικά δίκτυα καθώς έχουν ανοιχτή πρόσβαση στον καθένα. Η/Υ που είναι μονίμως συνδεδεμένοι στο Internet είναι περισσότερο ευάλωτοι (DSL) Τηλεφωνία μέσω Διαδικτύου VoIP - Υποκλοπή από hackers Χρήση ηλεκτρονικού ταχυδρομείου και άμεσων μηνυμάτων (e-mails, messenger services) Τα e-mails είναι η πρώτη πηγή διακίνησης κακόβουλου λογισμικού στις μεγάλες εταιρίες.
Προβλήματα ασφάλειας σε ασύρματα δίκτυα Δημόσια δίκτυα (Αεροδρόμια, Βιβλιοθήκες & Δημόσιοι χώροι) Οι ζώνες ραδιοσυχνοτήτων σαρώνονται εύκολα (802.11 a/b/g/n) WiFi & Bluetooth είναι τεχνολογίες που μπορεί να χρησιμοποιηθούν από hackers (routing/υποκλοπή) Ανίχνευση μη-προστατευμένων δικτύων, παρακολούθηση κυκλοφορίας του δικτύου και πρόσβαση σε ιδιωτικά δίκτυα. Παραδείγματα κλοπής προσωπικών δεδομένων (πιστωτικές κάρτες, usernames, passwords) από εταιρίες.
Είδη Κακόβουλου Λογισμικού (Malware) Computer Virus (προσκολλώνται σε άλλα προγράμματα του Η/Υ και τρέχουν χωρίς γνώση του χρήστη-εμποδίζουν τη λειτουργία του προγράμματος) Worms (αντιγράφονται από τον ένα Η/Υ στον άλλο μέσω δικτύου-δρουν ανεξάρτητα από τα προγράμματα-καταστρέφουν δεδομένα και προγράμματα) Trojan Horses (βρίσκονται καμουφλαρισμένοι σε ακίνδυνα φαινομενικά αρχεία και όταν βρεθούν στον σκληρό δίσκο καταστρέφουν τα περιεχόμενά του-εξαπλώνονται μέσω δικτύων, CD-Rom και USB Sticks SpyWare (Καταγράφουν το ιστορικό του χρήστη στο διαδίκτυο και παρουσιάζουν διαφημίσεις) Key Loggers (καταγράφουν κάθε πλήκτρο που πατιέται και αποκτούν πρόσβαση σε usernames & passwords του χρήστη-υποκλοπή προσωπικών δεδομένων)
Είδη επιθέσεων Spoofing: Παραπλάνηση-ανακατεύθυνση ενός συνδέσμου σε διεύθυνση διαφορετική από την επιδιωκόμενη Sniffer: Εντοπιστής - Είδος προγράμματος που εντοπίζει και κλέβει πληροφορίες από e-mail, εταιρικά αρχεία και απόρρητες αναφορές Denial of Service (DoS): Άρνηση εξυπηρέτησης-ο server κατακλύζεται από πολλές χιλιάδες ψεύτικα μηνύματα ή αιτήσεις εξυπηρέτησης με αποτέλεσμα να καταρρέει. Distributed DoS: Χρήση πολλών Η/Υ για κατάκλυση του δικτύου από πολλά σημεία ταυτόχρονα. BotΝets: οι Η/Υ μολύνονται από αυτά τα κακόβουλα προγράμματα και χωρίς γνώση των χρηστών γίνονται δούλοι ή ζόμπι υπολογιστές και ο χάκερ μπορεί να τους χρησιμοποιήσει για κατανεμειμένες επιθέσεις.
Κλοπή Ταυτότητας Χρηστών Phishing: Ηλεκτρονικό Ψάρεμα- Δημιουργία πλαστών ιστοτόπων ή αποστολή παραπλανητικών μηνυμάτων (πχ από Τράπεζες) μέσω των οποίων ζητούνται εμπιστευτικά στοιχεία των χρηστών. Pharming: Ανακατευθύνεται ο χρήστης σε μια πλαστή ιστοσελίδα έστω και αν πληκτρολόγησε τη σωστή διεύθυνση και γίνεται προσπάθεια ανάκτησης προσωπικών του δεδομένων. Evil Twins: Ασύρματα δίκτυα που προσποιούνται ότι προσφέρουν ασφαλείς συνδέσεις διαδικτύου (πχ αεροδρόμια, ξενοδοχεία, καφετέριες) και γίνεται προσπάθεια για υποκλοπή κωδικών πρόσβασης, αριθμών πιστωτικών καρτών κλπ.
Πλαίσιο Δράσης για την Ασφάλεια & τον Ελέγχο Έλεγχοι Λογισμικού Έλεγχοι Υλικού Έλεγχοι λειτουργίας Η/Υ Έλεγχοι ασφάλειας δεδομένων Έλεγχοι Υλοποίησης Διαχειριστικοί Έλεγχοι
Σχεδιασμός Ανάκαμψης από Καταστροφή και Σχεδιασμός Επιχειρηματικής Συνέχειας Ανάκαμψη από καταστροφή πχ MasterCard 2ο Κέντρο Υπολογιστών εφεδρικό σε περίπτωση έκτακτης ανάγκης. Σχεδιασμός επιχειρηματικής συνέχειας πχ Deutsche Bank Συντονίζει σχέδια σχετικά με την απώλεια εγκαταστάσεων, προσωπικού ή κρίσιμων συστημάτων ωστε να μη διακοπεί η λειτουργία της
Τεχνολογίες και εργαλεία για την προστασία των πληροφοριακών πόρων Έλεγχος πρόσβασης (Access control) Πιστοποίηση ταυτότητας (Authentication) Passwords (δύσκολοι κωδικοί είναι αντιπαραγωγικοί, τους σημειώνουν στο PC) Αναγνωριστικά (Tokens) Συσκευές σε σχήμα κέρματος που εναλλάσσουν κωδικούς για πρόσβαση. Έξυπνη Κάρτα (Smart Cards) Σχήμα πιστωτικής κάρτας για πρόσβαση σε χώρους ή τραπεζικές υπηρεσίες Βιομετρική πιστοποίηση ταυτότητας (Biometric authentication) Δακτυλικό αποτύπωμα, ίριδα ματιού, φωνή
FireWalls
Κρυπτογράφηση Δημόσιο Κλειδί (Public Key) Ψηφιακά Πιστοποιητικά (Digital Certificates) VeriSign, IdenTrust, KeyPost
Antivirus Software Ελέγχει για ιούς συστήματα και τους δίσκους Η/Υ Εξαλείφει ιούς/worms Αποτελεσματικά μόνο κατά των ιών που ήταν γνωστοί τη στιγμή που γράφτηκαν ως προγράμματα Πρέπει να ενημερώνεται συνεχώς Διαθέσιμα anti-virus και για κινητές συσκευές Προστασία και κατά του κατασκοπευτικού λογισμικού
Η περίπτωση της McAfee Antivirus
Η περίπτωση της McAfee 6.000 εργαζόμενοι παγκοσμίως 2 δις $ το 2010 21 Απριλίου 2010 - Βγαίνει ένα προγραμματισμένο update για τον ιό W32/wecorl.a Το update κάνει τους Η/Υ των χρηστών να κλείνουν και να μην είναι δυνατό να ανοίξουν Το update αντί για τον ιό στόχευε ένα απαραίτητο αρχείο των Windows και το κατέστρεφε με αποτέλεσμα να αχρηστεύεται ο Η/Υ (svchost.exe) Οι Η/Υ έκανα συνεχώς restart και δεν μπορούσαν να αναγνωρίσουν συσκευές USB. Φταίξιμο της εταιρίας: a. Δεν προειδοποίησε για πιθανή διαγραφή του αρχείου και προέβη σε αυτή απ ευθείας b. Δεν τέσταρε το λογισμικό σε όλα τα πιθανά λειτουργικά συστήματα Μόνη λύση η χειροκίνητη επιδιόρθωση (σε χρήστες, εταιρίες και οργανισμούς με εκατοντάδες PC) Λόγος: Η ανάγκη για γρήγορη έκδοση των updates ώστε τα συστήματα των χρηστών να μην παραμένουν εκτεθειμένα σε νέους ιούς
Lab Tutorial