Εργασία Security Management

University of East London (UEL) School of Architecture, Computing and Engineering (ACE) Department of Computing MSc in Information Security and Computer Forencics Εργασία Security Management Μαλαπέτσας Διονύσιος UEL ID: 1245355 Αθήνα 2014 1

Περιεχόμενα: Μέρος 1 ο Ερώτημα 1: Ιστορία της ασφάλειας στα δίκτυα Ερώτημα 2: Αρχιτεκτονική του διαδικτύου και οι ευάλωτες πτυχές της ασφάλειας του διαδικτύου Ερώτημα 3: Τύποι επιθέσεων στο διαδίκτυο και τις μεθόδους ασφαλείας Ερώτημα 4: Ασφάλεια για τα δίκτυα με πρόσβαση στο διαδίκτυο Ερώτημα 5: Τρέχουσες εξελίξεις στο hardware/software της ασφάλειας των δικτύων Το μέλλον και οι νέες τάσεις της ασφάλειας των δικτύων Μέρος 2 ο Ερώτημα 1: Γιατί τα πληροφοριακά συστήματα είναι ευπαθή σε καταστροφή Ερώτημα 2: Ποια είναι η επιχειρηματική αξία της ασφάλειας και του ελέγχου Ερώτημα 3: Ποια είναι τα συστατικά στοιχεία ενός οργανωσιακού πλαισίου δράσης για την ασφάλεια και τον έλεγχο Ερώτημα 4: Αξιολογήστε τα πιο σημαντικά εργαλεία και τις τεχνολογίες για τη διασφάλιση των πληροφοριακών πόρων Βιβλιογραφία 2

Μέρος 1 ο Ερώτημα 1: Ιστορία της ασφάλειας στα δίκτυα Από την αρχαιότητα και τα πρώτα βήματα της ανθρώπινης εξέλιξης μέχρι σήμερα που ζούμε στην αποκαλούμενη εποχή της πληροφορίας μια βασική ανάγκη του ανθρώπου είναι η επικοινωνία. Οι άνθρωποι επινοούν ολοένα και περισσότερους τρόπους να επικοινωνήσουν μεταξύ τους οποιαδήποτε στιγμή. Παράλληλα με την ανάγκη της επικοινωνίας, μια άλλη σχετική ανάγκη βαδίζει παράλληλα δίπλα στην επικοινωνία, η ασφάλεια. Έτσι οι άνθρωποι δεν αρκούνται στο να επικοινωνούν αλλά θέλουν να επικοινωνούν με ασφάλεια όντας σίγουροι πως αυτά που επικοινωνούν φθάνουν μόνο στον επιθυμητό αποδέκτη τους και δεν μπορούν ούτε να μεταποιηθούν, ούτε να χαθούν, ούτε να υποκλαπούν από τρίτους μη εξουσιοδοτημένους στην επικοινωνία ανθρώπους. Οι λόγοι που επιβάλουν την ανάγκη της ασφάλειας είναι πολλοί με πλέον σημαντικούς τους στρατιωτικούς, πολιτικούς και επιχειρηματικούς σκοπούς. Είναι αυτονόητος για όλους μας ο ρόλος της εμπιστευτικότητας των πληροφοριών των τριών προαναφερθέντων παραγόντων. Γενικεύοντας όμως την αιτία που επιθυμούμε την ασφαλή επικοινωνία μπορούμε να καταλήξουμε στο γεγονός πως κάθε άνθρωπος έχει προσωπικά συμφέροντα διαφορετικά από αυτά των υπολοίπων. Έτσι λοιπών για να προασπίσουμε τα προσωπικά μας συμφέροντα κάθε μορφής, χρησιμοποιούμε την ασφαλή επικοινωνία διασφαλίζοντας την ακεραιότητα, την εμπιστευτικότητα, την μη αποποίηση και την μη υποκλοπή των λεγομένων μας. Κλασσικό παράδειγμα στρατιωτικής χρήσης της ασφάλειας της επικοινωνίας είναι ο περίφημος κώδικας του Καίσαρα, όπου κατά τα χρόνια της Ρωμαϊκής Αυτοκρατορίας τα μηνύματα που διέτρεχαν την αυτοκρατορία και αφορούσαν διαταγές του Καίσαρα ήταν κρυπτογραφημένα ούτως ώστε να μην είναι αντιληπτά σε κανέναν. Ο Καίσαρας έγραφε το μήνυμα που ήθελε να μεταδώσει και κατόπιν χρησιμοποιούσε τη μέθοδο της μετατόπισης των χαρακτήρων συγκεκριμένες θέσεις δεξιά ή αριστερά αλλάζοντας το κείμενο σε κάτι που δεν έβγαζε κανένα νόημα. Έστελνε το κρυπτοκείμενο με έναν αγγελιοφόρο και με διαφορετικό αγγελιοφόρο σε διαφορετικό χρόνο έστελνε το κλειδί της κρυπτογράφησης που χρησιμοποίησε, δηλαδή το μαγικό αριθμό της μετατόπισης των χαρακτήρων ούτως ώστε ο παραλήπτης κάνοντας την αντίστροφη διαδικασία να διαβάσει το αρχικό μήνυμα. Caesar s Cipher 3

Παρόμοιες λογικές παραλλαγμένες και πιο εξελιγμένες χρησιμοποιήθηκαν για πολλά χρόνια με επόμενο αξιοσημείωτο σταθμό τη ναζιστική Γερμανία και τον Αδόλφο Χίτλερ που χρησιμοποιούσε την μηχανή Enigma για να κρυπτογραφήσει τα μηνύματά του τα οποία κατόπιν μπορούσε να αποκρυπτογραφήσει μόνο η αντίστοιχη μηχανή που κατείχε ο παραλήπτης και εφόσον την είχε ρυθμίσει σωστά ανάλογα με το κλειδί που είχε χρησιμοποιήσει ο αποστολέας. The Enigma Machine Φτάνουμε στα 1945, χρονιά σταθμός για την πληροφορική καθώς κατασκευάζεται ο πρώτος ηλεκτρονικός υπολογιστής, Ο ENIAC. Δύσχρηστος, τεράστιος σε όγκο και τρομερά αργός χωρίς σαφώς καμία δυνατότητα δικτύωσης, ο Eniac δεν απασχολούσε καθόλου με θέματα ασφάλειας τους διαχειριστές του, παρά μόνο με τη φυσική του ασφάλεια που αφορούσε κλοπές, φθορές, κλιματικές συνθήκες κλπ. The Eniac Computer Στη δεκαετία του 60 οι υπολογιστές έχουν αναπτυχθεί αρκετά και πλέον μπαίνουν στον κόσμο της επιχειρηματικότητας και των αγορών. Τα χειρόγραφα αρχεία 4

ψηφιοποιούνται και δημιουργούνται οι πρώτες βάσεις δεδομένων. Οι υπολογισμοί γίνονται σαφώς πιο γρήγορα και εύκολα αλλά οι υπολογιστές συνεχίζουν να μην έχουν δυνατότητες δικτύωσης γεγονός που τους καθιστά εντελώς ασφαλείς από εξωτερικούς κινδύνους. Ο κίνδυνος όμως αυτή τη φορά είναι αρκετά μεγάλος και σημαντικός και κρύβεται εντός των τειχών. Δυσαρεστημένοι υπάλληλοι, ανειδίκευτοι υπάλληλοι με άγνοια, μη εξουσιοδοτημένη πρόσβαση διαβαθμισμένων πληροφοριών και κυρίως επιχειρηματική κατασκοπία μπορούν να προκαλέσουν φθορές και να επηρεάσουν την ασφάλεια του συστήματος. Η λογική αυτή συνεχίζεται ως τη δεκαετία του 70 που συναντάμε κεντροποιημένα συστήματα με mainframe και που για πρώτη φορά αρχίζουν να εκπονούνται πολιτικές και κανονιστικά πλαίσια ασφαλείας με διαβάθμιση χρηστών και πληροφοριών, με διαφορετικούς λογαριασμούς χρηστών και κωδικούς πρόσβασης. Παράλληλα έχουν ξεκινήσει οι έρευνες στα λειτουργικά συστήματα με πρωτοπόρους την ITT, την Digital Equipment και την IBM. Είναι η εποχή που για πρώτη φορά κυκλοφορούν οι φήμες για κακόβουλους προγραμματιστές και την ύπαρξη backdoors σε κώδικες που επιτρέπουν την είσοδο των κακόβουλων στο σύστημα. Βαδίζοντας προς τη δεκαετία του 80 και ενώ πλέον οι υπολογιστές έχουν μπει για τα καλά σε επιχειρήσεις, τράπεζες, οργανισμούς, γραφεία αλλά και σπίτια και ενώ πλέον τα λειτουργικά συστήματα επιτρέπουν τη δικτύωση των υπολογιστών, εμφανίζεται η πραγματική ανάγκη για ασφάλεια και γίνεται αισθητή η έλλειψή της. Τα τηλεφωνικά κυκλώματα μετατρέπονται σε ένα παγκόσμιο δίκτυο υπολογιστών και ο κάθε προσωπικός υπολογιστής με τη χρήση ενός μόντεμ αποκτά ένα παράθυρο στον κόσμο. Συνδέεται απομακρυσμένα σε έναν κεντρικό υπολογιστή και αποκτά πρόσβαση σε αυτόν χωρίς να απαιτείται η φυσική παρουσία του χρήστη στον κεντρικό υπολογιστή. Και ενώ φτάνουμε στα τέλη της δεκαετίας συναντάμε τους υπολογιστές ιδιαίτερα δημοφιλείς και το διαδίκτυο να αποκτά άλλη μορφή από ένα εργαλείο στα χέρια κρατών και επιχειρήσεων, ως ένα μέσω κοινωνικής δικτύωσης σε κάθε σπίτι. Οι χρήστες ξεκινούν τις πρώτες δικτυακές κοινωνίες με στατικές σελίδες, chat rooms και forums, ανταλλάζουν μηνύματα ηλεκτρονικής αλληλογραφίας και αρχεία. 5

Στα 1990 δημιουργείται το World Wide Web (www) και το internet αρχίζει να παίρνει τη μορφή που ξέρουμε σήμερα. Οι κίνδυνοι έχουν πολλαπλασιαστεί και η ασφάλεια είναι ακόμα σε πρώιμο στάδιο. Τότε κατασκευάζονται οι πρώτοι δρομολογητές (routers) και οι πρώτες μηχανές που φιλτράρουν τα δεδομένα που ονομάστηκαν firewalls. Στα μέσα της δεκαετίας του 90 εμφανίζονται οι ISPs (Internet Service Providers) και το ίντερνετ έχει αρχίσει να γίνεται μέρος της καθημερινότητας των ανθρώπων. Η εξέλιξη του διαδικτύου είναι τόσο ραγδαία που προηγείται κατά πολύ των εταιριών λογισμικού και πληροφορικής με αποτέλεσμα να τρέχουν πανικόβλητες πίσω του προσπαθώντας να προσαρμόσουν τα προϊόντα τους στις νέες ανάγκες. Όπως είναι σαφές αυτός ο αγώνας δρόμου καθιστά τα προϊόντα ανασφαλή και ευάλωτα σε κάθε κακόβουλη χρήση. Η απουσία της ασφάλειας ήταν τόσο ηχηρή που μέχρι και τα τέλη της δεκαετίας του 90 τα λογισμικά ήταν παντελώς διάτρητα, γεγονός που συνδυάζοντας το με την σύνδεση σχεδόν όλων των υπολογιστών στο διαδίκτυο μετέτρεπε το ίντερνετ σε παιδική χαρά για τους κακόβουλος χρήστες οι οποίοι δεν έβρισκαν την παραμικρή αντίσταση στο να επιτύχουν τους σκοπούς τους. Από το 2000 και μετά αρχίζει η ασφάλεια να αποκτά τη βαρύτητα που απαιτείται και πλέον οι εταιρίες λογισμικού αρχίζουν να τοποθετούν ασπίδες ασφαλείας στα συστήματά τους. Σε επίπεδο εξοπλισμού χρησιμοποιούνται τα firewalls σαφώς πιο εξελιγμένα, οι δρομολογητές και οι proxies ενώ σε επίπεδο λογισμικού ξεκινά η κρυπτογράφηση των δεδομένων που μεταδίδονται στο διαδίκτυο. Αναπτύσσονται διαδικτυακά πρωτόκολλα με ειδική βαρύτητα στην ασφάλεια και θεσπίζονται παγκόσμιες πολιτικές ασφαλείας για το διαδίκτυο. Εγκαθίστανται λογισμικά antivirus και internet security, software firewalls και εφαρμογές antimalware στους προσωπικούς υπολογιστές. Οι εταιρίες δημιουργούν patches και προσπαθούν με updates να επιδιορθώσουν τυχόν κενά ασφαλείας σε λογισμικά και λειτουργικά συστήματα. Η ασφάλεια έχει γίνει το βασικό μέλημα επαγγελματιών του χώρου της πληροφορικής αλλά και καθημερινών απλών χρηστών οι οποίοι ανησυχούν για το προσωπικό τους απόρρητο. Φτάνουμε στο σήμερα, σε μια κοινωνία που περνά βάσει στατιστικών το μεγαλύτερο μέρος της ημέρας της πίσω από έναν υπολογιστή είτε για λόγους εργασίας είτε για λόγους προσωπικής ευχαρίστησης. Σε μια κοινωνία που διαθέτει κατά μέσο όρο 3 έως πέντε δια-δικτυωμένες συσκευές όλο το 24ωρο από κινητά τηλέφωνα και ταμπλέτες μέχρι υπολογιστές, τηλεοράσεις, αυτοκίνητα και ψυγεία. Τα πάντα έχουν πρόσβαση στο διαδίκτυο και μετατρέπονται αυτομάτως σε τρωτούς στόχους στις διαθέσεις κάθε κακόβουλου χρήστη. Αφήνοντας τους αριθμούς να μιλήσουν για εμάς διαπιστώνουμε πως η ασφάλεια σήμερα είναι τόσο σημαντική που παγκοσμίως δαπανούνται τα μεγαλύτερα κονδύλια για την έρευνα και την ανάπτυξη της 6

βιομηχανίας της ασφάλειας υπολογιστών. Ακόμη το ηλεκτρονικό έγκλημα είναι πλέον από τα πιο διαδεδομένα και τα πιο συχνά είδη εγκλήματος. Οι μέθοδοι προστασίας, οι κρυπτογραφήσεις και οι ασπίδες εξελίσσονται συνεχώς παράλληλα όμως με την εξέλιξη των υπολογιστών και την αύξηση των πόρων τους μετατρέποντας τη διαδικασία σε έναν συνεχή αγώνα δρόμου μεταξύ των δύο αντίπαλων δυνάμεων. Ερώτημα 2: Αρχιτεκτονική του διαδικτύου και οι ευάλωτες πτυχές της ασφάλειας του διαδικτύου Το διαδίκτυο είναι χαώδες και δύσκολα μπορεί κανείς να διακρίνει δομημένη αρχιτεκτονική καθώς πρόκειται για ένα υπέρ-δίκτυο δικτύων υπολογιστών και δικτυακών συσκευών που απλώνονται σε όλα τα πλάτη και μήκη της γης και πέρα από αυτή. Δεν είναι τυχαίο άλλωστε πως συμβολίζεται με την εικόνα ενός σύννεφου. Στην πραγματικότητα το διαδίκτυο υλοποιείται με τη χρήση αναρίθμητων δρομολογητών (routers) συνδεδεμένων μεταξύ τους. Κάθε δρομολογητής συνδέεται με παραπάνω από έναν άλλους δρομολογητές οι οποίοι με τη σειρά τους συνδέονται με μια σειρά άλλων δρομολογητών δημιουργώντας έτσι έναν πολύπλοκο ιστών κυκλωμάτων τα οποία καθιστούν το διαδίκτυο αδιάλειπτο και συνεχώς διαθέσιμο και λειτουργικό. Κάθε πακέτο δρομολογείται στο διαδίκτυο από ένα σημείο α προς ένα σημείο β περνώντας από μια αλληλουχία δρομολογητών. Η πλέον κατάλληλη λογική τοπολογία που θα μπορούσε κανείς να χρησιμοποιήσει για να περιγράψει το διαδίκτυο είναι αυτή του πλέγματος (mesh). Το διαδίκτυο χρησιμοποιεί ένα πλήθος πρωτοκόλλων και βασίζεται κυρίως στο TCP/IP πρωτόκολλο που επιτρέπει τη μεταγωγή πακέτων από τερματικό σε τερματικό κάτω από συγκεκριμένο κανονιστικό πλαίσιο. Ένα ακόμη πρωτόκολλο είναι το πρωτόκολλο ARP το οποίο αντιστοιχεί τη φυσική διεύθυνση (mac) που κατέχει κάθε συσκευή σε μια μοναδική δικτυακή διεύθυνση (ip) που χρησιμοποιείται ως ταυτότητα της συσκευής στο διαδίκτυο. Τα πρωτόκολλα θέτουν τους κανόνες τις επικοινωνίας, εποπτεύουν τη διαδικασία και ορίζουν τον τρόπο με τον οποία αυτή υλοποιείται. Εάν μία συσκευή δεν υπακούει στα πρωτόκολλα καθίσταται αδύνατο να επικοινωνήσει μέσω διαδικτύου. Πέραν όμως των πρωτοκόλλων και των κανονισμών που αυτά ορίζουν, η ποικιλομορφία, το μέγεθος, το εύρος του διαδικτύου και το πλήθος των τερματικών και των χρηστών που συμμετέχουν σε αυτό το κάνουν ευάλωτο σε τρωτότητες και δυσκολεύουν την εποπτεία του. Οι απειλές είναι πολλές και στοχεύουν σε διαφορετικές ευάλωτες πτυχές του διαδικτύου. Υποκλοπή δεδομένων, παράκαμψη ασφαλιστικών δικλείδων, εκμετάλλευση αδυναμιών συστημάτων, φόρτος δικτύου, διαθεσιμότητα υπηρεσιών, παραπλάνηση φίλτρων, κακόβουλο λογισμικό και ιοί και άλλα πολλά είναι οι πλέον διαδεδομένες τρωτότητες του διαδικτύου, οι οποίες αναφέρονται παρακάτω. 7

Ερώτημα 3: Τύποι επιθέσεων στο διαδίκτυο και τις μεθόδους ασφαλείας Το διαδίκτυο λόγω της ίδιας του της φύσης είναι ο χώρος στον οποίο κακόβουλοι χρήστες αναζητούν κενά ασφαλείας και τρωτότητες ώστε να τις εκμεταλλευτούν και να εξαπολύσουν τις επιθέσεις τους κάτω από την ανωνυμία και την δυσκολία εντοπισμού των ιχνών τους. Υπάρχουν πολλά και διαφορετικά είδη διαδικτυακών επιθέσεων με κυριότερες τις παρακάτω. Ανίχνευση και εντοπισμός ευπαθειών Το πρώτο στάδιο κάθε επίθεσης εφόσον καθοριστεί ο στόχος της είναι η αναγνώριση του στόχου και η προσπάθεια να εντοπισθούν τρωτά σημεία και ευπάθειες τις οποίες ο κακόβουλος χρήστης μπορεί να εκμεταλλευτεί για να επιτεθεί στο σύστημα. Μια συνηθισμένη ενέργεια αναγνώρισης είναι το port scanning με το οποίο ο χρήστης μπορεί να εντοπίσει ποιες πόρτες είναι ανοιχτές στο σύστημα και ποιες όχι. Άλλες πληροφορίες που επιθυμεί να μάθει είναι το είδος του συστήματος, τι λειτουργικό σύστημα εκτελεί πως χρησιμοποιείται και λοιπές πληροφορίες που θα του φανούν ιδιαιτέρως χρήσιμες προτού αποφασίσει με ποιον τρόπο θα αποπειραθεί να επιτεθεί. Ανίχνευση Πακέτων - Ωτακουστές Πρόκειται ουσιαστικά για μια ακόμη διαδικασία στα πλαίσια της αναγνώρισης του συστήματος-στόχου όπου ο κακόβουλος χρήστης πραγματοποιεί packet sniffing με σκοπό να υποκλέπτει ολόκληρη την επικοινωνία που πραγματοποιείται στο δίκτυο εφόσον όμως έχει αποκτήσει πρόσβαση σε αυτό. Οι ανιχνευτές πακέτων που στην ουσία είναι λογισμικά που «ακούν» την κίνηση στο δίκτυο, είναι εξαιρετικά χρήσιμοι και αποδοτικοί για τον επιτιθέμενο καθώς μπορούν να του προσφέρουν ένα τεράστιο εύρος πληροφοριών, ακόμα και στοιχεία πρόσβασης χρηστών που ανυποψίαστοι συνδέονται σε εφαρμογές με τα αναγνωριστικά τους. Προσποίηση διεύθυνσης IP - Πλαστοπροσωπία Μια άλλη τεχνική επίθεσης είναι η προσποίηση έμπιστης διεύθυνσης IP του δικτύου από έναν εκτός του δικτύου επιτιθέμενο εισβολέα ο οποίος προσποιείται πως είναι τερματικό με διεύθυνση δικτύου εντός του εύρους του έμπιστου εσωτερικού μας δικτύου, προσπαθώντας έτσι να πάρει πρόσβαση σε δικτυακούς πόρους και υπηρεσίες στους οποίους προβαίνουν μόνο εξουσιοδοτημένοι, έμπιστοι χρήστες. Για να το πετύχει αυτό εντοπίζει μία πραγματική διεύθυνση IP εντός του δικτύου και αλλάζει την κεφαλίδα (header) των πακέτων που πρόκειται να στείλει ούτως ώστε να φαίνεται πως η διεύθυνση προορισμού είναι έμπιστη και εντός των ορίων του δικτύου. Εάν το σύστημα εξαπατηθεί ο χρήστης αποκτά πρόσβαση σε υπηρεσίες και πόρους και μπορεί να υποκλέψει στοιχεία, να εξαπολύσει επιθέσεις στο δίκτυο ή ακόμη και να προσποιηθεί την ταυτότητα πραγματικών χρηστών δρώντας εν αγνοία τους. Άρνηση Υπηρεσίας Denial Of Service Attacks (DoS) Οι επιθέσεις άρνησης υπηρεσίας έχουν σκοπό το να αποτρέψουν τη χρήση ενός συστήματος από τους χρήστες. Στοχεύουν κυρίως σε τρωτά σημεία του λογισμικού των εξυπηρετητών και χρησιμοποιούν Software Exploits για να επιτεθούν σε αυτά. Ακόμη στοχεύουν σε ευπάθειες των δικτυακών συσκευών όπως δρομολογητές και firewalls. Κάθε σύστημα συνδεδεμένο στο διαδίκτυο θεωρητικά κινδυνεύει από μία 8

τέτοια επίθεση, παρόλα αυτά οι επιθέσεις αυτές δεν έχουν σκοπό να παραβιάσουν το σύστημα ή να υποκλέψουν στοιχεία από αυτό, παρά μόνο να το θέσουν εκτός υπηρεσίας έστω και προσωρινά. Ο επιτιθέμενος είναι εύκολο να κρύψει τα ίχνη του παραποιώντας τη διεύθυνση του αποστολέα στην επικεφαλίδα των πακέτων που στέλνει. Ο τρόπος λειτουργίας της επίθεσης αυτής είναι η μαζική αποστολή μεγάλων πακέτων με σκοπό να εξαντληθούν οι υπολογιστικοί ή οι δικτυακοί πόροι ενός συστήματος. Distributed Denial of Service Attacks (DDoS) Σε επόμενο στάδιο η επίθεση άρνησης υπηρεσίας μετατρέπεται σε κατανεμημένη επίθεση (Distributed Denial Of Service Attack) και μπορεί να γίνει πιο ισχυρή εάν χρησιμοποιηθούν ταυτόχρονα παραπάνω από ένας κακόβουλοι αποστολείς πακέτων ή αν ο επιτιθέμενος καταφέρει να φτιάξει ένα στρατό από υπολογιστές που ελέγχονται άθελά τους από αυτόν (bots) και οι οποίοι συνεχίζουν να λειτουργούν φυσιολογικά χωρίς οι πραγματικοί χρήστες τους να αντιλαμβάνονται τη διαφορά. Τα αποτελέσματα της επίθεσης αυτής είναι άμεσα και καταστροφικά για το σύστημα που αδυνατεί να εξυπηρετήσει τον όγκο των εισερχόμενων δεδομένων και πέφτει εφόσον εξαντληθούν οι υπολογιστικοί ή οι δικτυακοί του πόροι. Ping of Death Attacks / Smurf Attacks Οι επιθέσεις ping of death εκμεταλλεύονται μια χρήσιμη και νόμιμη υπηρεσία του πρωτοκόλλου ICMP που παρέχει την πληροφορία σε μια επικοινωνία αν πομπός και δέκτης μπορούν να επικοινωνήσουν. Ουσιαστικά ο ένας ρωτά και ο άλλος του απαντά. Αυτή η λειτουργία πραγματοποιείται με μια ανταλλαγή πακέτων ping, η οποία μπορεί να μετατραπεί σε επιβλαβή αλλάζοντας τον όγκο και τη συχνότητα αποστολής του πακέτου. Το σύστημα είναι ρυθμισμένο να δέχεται πακέτα ping και να απαντά σε αυτά και αυτό ακριβώς είναι το τρωτό σημείο που κάποιος κακόβουλος χρήστης παραποιώντας τις δύο παραμέτρους που προαναφέρθηκαν μπορεί να εκμεταλλευτεί για να επιτεθεί στο σύστημα. Η Smurf Attack είναι μια επίθεση που δε γίνεται απευθείας στο στόχο αλλά ο επιτιθέμενος χτυπά ένα μη ασφαλισμένο επαρκώς δίκτυο το οποίο τελικά στρέφεται ενάντια στον αρχικό στόχο. Αυτό πραγματοποιείται χρησιμοποιώντας ξανά την κανονική λειτουργία του πρωτοκόλλου ICMP παρόμοια με το ping of death attack μόνο που η επίθεση δεν πραγματοποιείται απευθείας στο στόχο της. Επιθέσεις Κακόβουλου Λογισμικού - Malware Attacks Οι επιθέσεις κακόβουλου λογισμικού (Malware Attacks) χρησιμοποιούν κώδικα ο οποίος έχει γραφτεί με σκοπό να μολύνει ή να βλάψει έναν υπολογιστή όταν ο χρήστης του με κάποιο τρόπο ενεργοποιήσει και εκτελέσει τον κώδικα αυτό, χωρίς όμως να το αντιληφθεί. Οι κώδικες αυτοί (Exploits) στοχεύουν σε τρωτά σημεία του λειτουργικού συστήματος και των εφαρμογών και χρησιμοποιούν ένα σύνολο εργαλείων που επιτυγχάνουν διαφορετικά αποτελέσματα. Τα εργαλεία αυτά είναι Backdoors σε εφαρμογές που οι προγραμματιστές τους τις αφήνουν με σκοπό να έχουν αργότερα πρόσβαση στις εφαρμογές αυτές, Trojan Horses που κρύβουν τον κακόβουλο κώδικα σε κάποιο άλλο χρήσιμο πρόγραμμα, user-level rootkits που αντικαθιστούν τα εκτελέσιμα αρχεία με κακόβουλο κώδικα που όμως περιέχει και τον 9

αρχικό και έτσι ο χρήστης δεν αντιλαμβάνεται την αλλαγή ενώ αυτά αποκρύπτονται στο σύστημα του, Kernel-Level Rootkits τα οποία είναι παρόμοια με τα user-level με τη διαφορά πως αντικαθιστούν τον kernel του λειτουργικού και κρύβονται σε αυτόν, Bots που μετατρέπουν το σύστημα σε υποχείριο του επιτιθέμενου ελεγχόμενο άθελα του από αυτόν και χωρίς ο πραγματικός χρήστης να αντιληφθεί το παραμικρό, και spywares που συλλέγουν στοιχεία και τα στέλνουν στον επιτιθέμενο (πχ keyloggers) και Adwares που προβάλουν διαφημίσεις στο χρήστη. Brute Force Attacks Η επίθεση ωμής βίας (Brute Force Attack) αφορά την εξαντλητική δοκιμή πιθανών κλειδιών που δημιουργούν ένα κρυπτογράφημα ούτως ώστε να αποκαλυφθεί το αρχικό κείμενο. Κλασσικό παράδειγμα τέτοιας επίθεσης είναι η προσπάθεια κακόβουλων χρηστών να μαντέψουν το password ενός χρήστη δοκιμάζοντας λέξεις κλειδιά από λίστες-λεξικά (wordlists). Αυτό βέβαια απαιτεί υπερβολικά πολύ χρόνο δοκιμών και ισχυρούς υπολογιστικούς πόρους. Όσο μεγαλύτερο και πιο σύνθετο είναι το κλειδί τόσο δυσκολότερη είναι η διαδικασία εντοπισμού του. Ερώτημα 4: Ασφάλεια για τα δίκτυα με πρόσβαση στο διαδίκτυο Τα δίκτυα που έχουν πρόσβαση στο διαδίκτυο όπως προαναφέρθηκε είναι εκτεθειμένα σε μεγάλο εύρος απειλών, οι οποίες τα κάνουν τρωτά και ευάλωτα. Για να προστατευθούν τα συστήματα αυτά υπάρχει μια σειρά ενεργειών που πρέπει να πραγματοποιηθούν ούτως ώστε να περιοριστεί ο κίνδυνος φθοράς των συστημάτων. Τα κυριότερα αντίμετρα που θα κληθούν να λάβουν οι ειδικοί της ασφάλειας πληροφοριακών συστημάτων είναι τα παρακάτω. Firewalls Τα firewalls χωρίζονται σε hardware και software και είναι λογισμικά ή δικτυακές συσκευές που φιλτράρουν την κίνηση ενός δικτύου αποφασίζοντας για το ποια πακέτα είναι αποδεκτά και θα προωθηθούν στον αποδέκτη τους και ποια όχι και θα απορριφθούν, σύμφωνα πάντα με ένα σύνολο κανόνων που έχει ορίσει ο διαχειριστής του δικτύου όταν ρύθμισε το firewall. Τα σύγχρονα firewalls (Next generation Firewalls) έχουν και δυνατότητες δρομολόγησης, φιλτραρίσματος πακέτων, αντιστοίχισης ονομάτων και διευθύνσεων δικτύου (NAT), αντιστοίχισης πόρτας και διεύθυνσης (PAT) καθώς επίσης μπορούν να λειτουργήσουν και σε επίπεδο εφαρμογής (application layer) ελέγχοντας το input και output από και προς μια υπηρεσία ή εφαρμογή. Firewall 10

Proxies Οι μεσολαβητές (proxy servers) χρησιμοποιούνται ως ενδιάμεσοι στα αιτήματα των χρηστών προς άλλους εξυπηρετητές εντός και εκτός του δικτύου και προς το διαδίκτυο. Η κίνηση ξεκινά από τον client και απευθύνεται προς τον proxy ο οποίος αναλαμβάνει να διεκπεραιώσει το αίτημα του χρήστη και εν συνεχεία να του απαντήσει. Είναι μία αποδοτική λύση καθώς ο κίνδυνος περιορίζεται αποκλειστικά στον μεσολαβητή και δεν απειλεί το εσωτερικό μας δίκτυο. Antivirus Τα antivirus είναι λογισμικά τα οποία σαρώνουν συνεχώς το σύστημά μας αναζητώντας για ιούς που έχουν εισέλθει στο σύστημα με κάποιο τρόπο. Για να το πετύχουν αυτό θα πρέπει να ταυτοποιηθεί ο κώδικας που εξετάζεται με κάποιον από τη βάση δεδομένων τους που περιέχει όλους τους γνωστούς ως τη δεδομένη στιγμή ιούς. Εάν η ταυτοποίηση πραγματοποιηθεί τότε ο ιός αντιμετωπίζεται μπλοκάρεται, μπαίνει σε καραντίνα και γίνονται οι κατάλληλες διορθωτικές ενέργειες. Σημαντική είναι καθημερινή ενημέρωση των λογισμικών αυτών για νέα updates που επικαιροποιούν τη βάση των ιών. Antimalware Τα antimalwares είναι λογισμικά που προσπαθούν να εντοπίσουν και να απομακρύνουν τυχόν κακόβουλο λογισμικό (adware, spyware, keylogger, Trojan horse etc.) που έχει εισέλθει στο σύστημα μας χωρίς να το αντιληφθούμε. DMZs Οι αποστρατικοποιημένες ζώνες είναι περιοχές του δικτύου μας που είναι εκτεθειμένες στο διαδίκτυο και παράλληλα επικοινωνούν με το εσωτερικό μας δίκτυο με την παρεμβολή ενός δρομολογητή και ενός τείχους προστασίας που προστατεύει το εσωτερικό μας δίκτυο. Στις DMZs τοποθετούνται οι εξυπηρετητές που χρειάζονται πρόσβαση στο διαδίκτυο όπως οι mail servers, proxy servers, web servers, honeypots, vpn servers, sip servers, stream servers και άλλοι. Η εισερχόμενη κίνηση από το διαδίκτυο μπορεί να φτάσει στην DMZ εφόσον επιτραπεί από το firewall αλλά δε μπορεί κατευθείαν να φτάσει στο εσωτερικό μας δίκτυο που τοποθετούμε τους κρίσιμους εξυπηρετητές όπως DB server, storage server, domain controller κλπ. Bastion Hosts Η τεχνική του οχυρού (Bastion Host) αφορά στο χωρισμό του δικτύου σε τμήματα, όπου κάθε τμήμα έχει τη δική του γραμμή άμυνας. Ξεκινώντας απ έξω προς τα μέσα συναντάμε το δρομολογητή που βγαίνει στο διαδίκτυο και μετά από αυτόν η κίνηση δρομολογείται στο πρώτο firewall που φιλτράρει τα πακέτα. Στο επόμενο τμήμα πίσω από το πρώτο τείχος προστασίας υπάρχει ένα switch που διαχειρίζεται μια αποστρατικοποιημένη ζώνη (DMZ) στην οποία έχουμε τους εξυπηρετητές με διαδικτυακές υπηρεσίες (mail-server, web-server κλπ που έχουν χαμηλότερο βαθμό ρίσκου. Μετά το switch της DMZ υπάρχει δεύτερο firewall που φιλτράρει εκ νέου τα επιτρεπόμενα από το πρώτο πακέτα και αποφασίζει ποια θα περάσουν στο εσωτερικό 11

μας δίκτυο με τους κρίσιμους εξυπηρετητές και τους χρήστες. Το δίκτυο αυτό το διαχειρίζεται δεύτερο switch που αποστέλλει τα πακέτα στον κατάλληλο παραλήπτη. Bastion Host Network Segmentation Ο καταμερισμός του δικτύου σε μικρότερα υποδίκτυα είναι μια αποτελεσματική και αξιόπιστη τεχνική για την καλύτερη διαχείριση και προστασία του δικτύου μας. Χωρίζοντας το σε μικρές ανεξάρτητες περιοχές μπορούμε να το εποπτεύουμε ευκολότερα και να περιορίσουμε τον κίνδυνο σε μια μικρότερη περιοχή με σαφώς λιγότερες συνέπειες από την εξάπλωσή του σε ένα ενιαίο καθολικό δίκτυο. Authentication-password security Η χρήση ελεγχόμενης πρόσβασης με μυστικούς κωδικούς μας βοηθά να αυξήσουμε την ασφάλεια του δικτύου μας και την ακεραιότητα των δεδομένων μας. Επιπλέον ζητώντας από κάθε χρήστη να ταυτοποιηθεί μπορούμε να ορίσουμε διαβαθμισμένη πρόσβαση για κάθε χρήστη ελέγχοντας σε ποιες πληροφορίες θα έχει ο κάθε χρήστης πρόσβαση και τι δικαιώματα θα έχει σε κάθε αρχείο. Παράλληλα θα πρέπει να εκπονηθεί αυστηρή πολιτική κωδικών πρόσβασης που θα απαιτεί κωδικούς μεγάλου μήκους και πολυπλοκότητας με απαραίτητο συνδυασμό πεζών και κεφαλαίων γραμμάτων, αριθμών και συμβόλων, με συγκεκριμένη διάρκεια ζωής και κωδικούς που δεν μπορούν να επαναλαμβάνονται ή να μοιάζουν αρκετά με τον προηγούμενο. VPNs Τα Virtual Private Networks είναι εικονικά δίκτυα τα οποία παρότι χρησιμοποιούν το διαδίκτυο, είναι ιδιωτικά και η ανταλλαγή των δεδομένων είναι κρυπτογραφημένη δημιουργώντας έτσι ένα ασφαλές δίκτυο απομακρυσμένων σημείων που όμως συμπεριφέρεται σαν ένα ενιαίο εικονικό δίκτυο. Σε επόμενο στάδιο για ακόμη 12

περισσότερη ασφάλεια το εικονικό ιδιωτικό δίκτυο μπορεί να συνδέσει τα απομακρυσμένα σημεία με μισθωμένο φυσικό κύκλωμα αντί του διαδικτύου, αποφεύγοντας έτσι την έκθεση του δικτύου στους διαδικτυακούς κινδύνους. Intrusion Detection/Protection Systems Τα συστήματα εντοπισμού και προστασίας από εισβολές εποπτεύουν συνολικά το δίκτυο και όλη τη δραστηριότητά του και αναζητούν κακόβουλες ενέργειες. Εάν εντοπίσουν κάτι ύποπτο προσπαθούν να το αποτρέψουν μπλοκάροντάς το, το καταγράφουν και δημιουργούν reports προς τον administrator του δικτύου. Τον εντοπισμό κακόβουλων ενεργειών τον επιτυγχάνουν έχοντας αρχικά ρυθμιστεί αλλά και κατόπιν εκπαιδευτεί κατάλληλα αναλύοντας την καθημερινή φυσιολογική δραστηριότητα του δικτύου για αρκετό καιρό. Όσο περισσότερο χρησιμοποιείται ένα σύστημα NBA (Network Behavior Analysis) τόσο πιο σοφό γίνεται εντοπίζοντας εύκολα κάτι μη συνηθισμένο ή φυσιολογικό. Logging and Auditing Η πλήρης ημερολογιακή καταγραφή της δραστηριότητας του δικτύου (Logging) και η δημιουργία λεπτομερών αναλυτικών αναφορών (reporting) για τον διαχειριστή του δικτύου βοηθούν καθοριστικά στην ασφάλεια του συστήματος με την προϋπόθεση πως ο διαχειριστής μελετά τα reports και τα logs ούτως ώστε να εντοπίσει κάτι παράξενο σε περίπτωση που έχει ξεφύγει από τις υπάρχουσες δικλείδες ασφαλείας του δικτύου. Το auditing είναι άλλη μια αποτελεσματική μέθοδος ελέγχου που ενεργεί επικουρικά ώστε να προλάβουμε τυχόν απειλές, όταν ακόμα το δίκτυο είναι ασφαλές και λειτουργικό. Backup Policy Σε κάθε περίπτωση πρέπει να υπάρχει σωστή και αυστηρή πολιτική λήψης αντιγράφων ασφαλείας τα οποία θα πρέπει να είναι άμεσα προσβάσιμα σε περίπτωση καταστροφής, ούτως ώστε να πραγματοποιηθεί η διαδικασία του restore και το σύστημα να επανέλθει στην προηγούμενη της καταστροφής κατάσταση και να συνεχίσει να λειτουργεί με ελάχιστες ως μηδενικές απώλειες. Ερώτημα 5: Τρέχουσες εξελίξεις στο hardware/software της ασφάλειας των δικτύων Σήμερα η ασφάλεια είναι το σημαντικότερο μέλημα των ειδικών του χώρου της πληροφορικής και των τηλεπικοινωνιών, οι οποίοι προσπαθούν με κάθε τρόπο να είναι ένα βήμα μπροστά στον αγώνα με την αντίπαλη όχθη των κακόβουλων που προσπαθούν να εντοπίσουν και να εκμεταλλευτούν συνεχώς νέα κενά ασφαλείας που θα δημιουργηθούν και θα διαφύγουν της προσοχής των αρμοδίων. Η ασφάλεια στην επικοινωνία στο διαδίκτυο βασίζεται ουσιαστικά στην κρυπτογράφηση των δεδομένων. Σήμερα έχουμε καταφέρει να κρυπτογραφούμε τα δεδομένα μας με κλειδιά έως και μήκους 2048 bits και η έρευνα συνεχώς προχωρά προσφέροντας ακόμη περισσότερες δυνατότητες. Όσο πιο σύνθετα και μεγάλα είναι τα κλειδιά τόσο δυσκολότερο γίνεται το έργο της αποκρυπτογράφησης, χωρίς όμως έστω και σε θεωρητικό επίπεδο να αποκλείεται η δυνατότητα αποκρυπτογράφησης των 13

δεδομένων. Από την άλλη πλευρά η νέα τάση που προέκυψε ανακαλύπτοντας πως η GPU αντί της CPU πραγματοποιεί πολύπλοκους υπολογισμούς ασυγκρίτως ταχύτερα από τον ίδιο τον επεξεργαστή προκάλεσε μια επανάσταση στο χώρο της ασφάλειας καθώς το GPU Computing είναι ένα νέο πανίσχυρο όπλο στα χέρια των κακόβουλων χρηστών που μπορούν τώρα να προσπαθούν ταχύτερα να σπάσουν ένα κλειδί. Οι κρυπταναλυτές υποστηρίζουν πως κάθε τεχνική κρυπτογράφησης που τίθεται σε ισχύ και κάθε μέτρο προστασίας που χρησιμοποιείται για κείνους θεωρείται ήδη σπασμένο και προσπαθούν να δημιουργήσουν το επόμενο αμέσως πιο ισχυρό. Το μέλλον και οι νέες τάσεις της ασφάλειας των δικτύων Όσα προαναφέρθηκαν αποτελούν την ιστορία της ασφάλειας αλλά και το παρόν της. Αν όμως τα δούμε υπό το νέο πρίσμα του Quantum Computing φαίνονται αστεία και ανούσια καθώς πλέον μιλάμε για ασύλληπτη υπολογιστική ισχύ διαθέσιμη σε έναν κβάντο-υπολογιστή για τον οποίον όλες αυτές οι δικλείδες ασφαλείας δεν έχουν το παραμικρό νόημα καθώς είναι ικανός να τις σπάσει σε χρόνο χαμηλότερο του δευτερολέπτου. Όσο όμως αστείο και ανούσιο ακούγεται, άλλο τόσο ανησυχητικό και επικίνδυνο έως τρομερό ακούγεται αυτό στα αυτιά των ειδικών της ασφάλειας των πληροφοριακών συστημάτων οι οποίοι ουσιαστικά δεν μπορούν να φανταστούν και να σχεδιάσουν το μέλλον της ασφάλειας την επόμενη μέρα που οι κβάντουπολογιστές θα περάσουν στην καθημερινότητά μας. Ο τομέας του Quantum Computing είναι τόσο νέος και άγνωστος για εκείνους όσο και για τον υπόλοιπο κόσμος και όντας αρκετά κλειστός και περιφρουρημένος δεν μπορεί κανείς εύκολα να ερευνήσει πάνω στο θέμα αυτό. Έτσι το μέλλον της ασφάλειας του διαδικτύου και των υπολογιστών δεν είναι ξεκάθαρο. Ως τότε όμως οι ειδικοί ερευνούν στα γνωστά δεδομένα που ισχύουν σήμερα και στο άμεσο μέλλον, τα οποία είναι εξίσου σημαντικά και δε σταματούν ανεξαρτήτως των μακροπρόθεσμων μελλοντικών εξελίξεων. Μέρος 2 ο Ερώτημα 1: Γιατί τα πληροφοριακά συστήματα είναι ευπαθή σε καταστροφή Τα πληροφοριακά συστήματα είναι από φύση τους ευπαθή σε καταστροφές και ο λόγος είναι κυρίως η πολυπλοκότητά τους. Πιθανά κενά ασφαλείας στο λογισμικό, αστοχία του υλικού, φυσικές καταστροφές, κακόβουλοι χρήστες εντός και εκτός του συστήματος, επιχειρηματική, διπλωματική και πολιτική κατασκοπεία, έλλειψη κατάλληλου γνωστικού υποβάθρου των χρηστών για τη χρήση των πληροφοριακών συστημάτων, απουσία θεσπισμένων πολιτικών ασφαλείας, έλλειψη υλικού και λογισμικού προστασίας των συστημάτων είναι οι πλέον συνήθεις αιτίες καταστροφής. Βεβαίως οι κίνδυνοι πολλαπλασιάζονται όταν τα συστήματα αυτά δικτυωθούν και εκτεθούν στο διαδίκτυο. Εκεί οι πιθανοί στόχοι αυξάνονται εκθετικά και τα συστήματα απειλούνται από ένα μεγάλο εύρος νέων απειλών και τύπων επιθέσεων. Τα όρια των δικτύων είναι ασαφή και σε λογικό αλλά και σε γεωγραφικό ή φυσικό επίπεδο. Οι χρήστες που αλληλεπιδρούν με τα συστήματα είναι αναρίθμητοι και απροσδιόριστοι λόγω της ανωνυμίας των χρηστών. Οι δρομολογήσεις των πακέτων είναι πολύπλοκες, δαιδαλώδεις και άγνωστες στους διαχειριστές των 14

συστημάτων, καθώς και τα υπολογιστικά συστήματα που μεσολαβούν είναι αμφιβόλου εμπιστοσύνης, γεγονός που περιορίζει το αίσθημα της ασφάλειας. Ερώτημα 2: Ποια είναι η επιχειρηματική αξία της ασφάλειας και του ελέγχου Στις μέρες μας περισσότερο από κάθε άλλη φορά ο κόσμος των επιχειρήσεων είναι εκτεθειμένος σε ένα μεγάλο εύρος ψηφιακών κινδύνων, γεγονός το οποίο προκύπτει από τον όγκο των εργασιών τους που αγγίζει σχεδόν το σύνολο τους και οι οποίες διεκπεραιώνονται με τη βοήθεια πληροφοριακών συστημάτων. Τα πληροφοριακά συστήματα μιας επιχείρησης είναι σαφώς ευπαθή όπως κάθε πληροφοριακό σύστημα και έχουν να αντιμετωπίσουν αρκετές διαφορετικές οντότητες που πιθανώς θα αποπειραθούν να τα βλάψουν. Στον αντίποδα οι επιχειρήσεις προσπαθούν να λάβουν τα κατάλληλα αντίμετρα ώστε να προφυλάξουν όσο το δυνατόν καλύτερα τα συστήματά τους από ενδεχόμενες απειλές και να εξασφαλίσουν την αδιάλειπτη λειτουργία τους. Πρωταρχικός στόχος των ειδικών σε θέματα ασφάλειας πληροφοριακών συστημάτων είναι να καταφέρουν να πείσουν την εκάστοτε διοίκηση κάθε επιχείρησης για την βαρύτητα της ύπαρξης κατάλληλων υποδομών ασφαλείας, με το ανάλογο σαφώς κόστος. Από την άλλη πλευρά οι διοικήσεις μεταφράζοντας οτιδήποτε σε χρηματική αξία προσπαθούν να βρουν τη χρυσή τομή ούτως ώστε να δαπανήσουν όσο το δυνατόν λιγότερα και να χαίρουν όσο το δυνατό περισσότερης ασφάλειας. Στο σημείο αυτό μπαίνει η επιχειρηματική αξία που λαμβάνει η ασφάλεια και ο έλεγχος. Οι επιχειρήσεις συνυπολογίζουν κάποιους παράγοντες και αποφασίζουν το τι μέτρα θα λάβουν για κάθε ενδεχόμενο κίνδυνο. Αρχικά μελετούν τον τύπο της απειλής, δηλαδή από τι κινδυνεύουν. Κατόπιν πιθανολογούν βάσει στατιστικής και λογικής την πιθανότητα να πληγούν από τη συγκεκριμένη απειλή. Τέλος υπολογίζουν το κόστος που θα προκαλέσει η ενδεχόμενη ζημιά αν αυτή η απειλή πραγματοποιηθεί. Έτσι πολλαπλασιάζοντας τους δύο δείκτες καταλήγουν στο ποσό που θα πρέπει να δαπανήσουν ώστε να λάβουν μέτρα ασφαλείας για τη συγκεκριμένη απειλή. Συνοψίζοντας η αξία της ασφάλειας και του ελέγχου διαφέρει για κάθε επιχείρηση ανάλογα με τη στρατηγική, το μέγεθος, το αντικείμενο, τη φιλοσοφία και την οικονομική της κατάσταση. Είναι πλέον ευρέως αντιληπτή η σημασία της ασφάλειας των πληροφοριακών συστημάτων όλων των επιχειρήσεων που πλέον αποτελούν τα ζωτικά τους όργανα. Ερώτημα 3: Ποια είναι τα συστατικά στοιχεία ενός οργανωτικού πλαισίου δράσης για την ασφάλεια και τον έλεγχο Ένα σωστά οργανωμένο πλαίσιο δράσης για την ασφάλεια και τον έλεγχο των πληροφοριακών συστημάτων μιας επιχείρησης ή ενός οργανισμού είναι ένα σύνολο κανόνων, πολιτικών και ενεργειών που εξασφαλίζουν την ασφαλή και αδιάλειπτη λειτουργία των συστημάτων και κατ επέκταση του οργανισμού αυτού. Το οργανωτικό πλαίσιο αυτό θα πρέπει να ξεκινά από την πρόβλεψη πιθανών απειλών, τον τρόπο αποφυγής και αντιμετώπισής τους και να καταλήγει στην επαναφορά του συστήματος σε περίπτωση που κάποια απειλεί τελικά καταφέρει να πλήξει το σύστημα. Το σχέδιο θα πρέπει να υλοποιηθεί από ειδικούς της ασφάλειας πληροφοριακών συστημάτων οι οποίοι θα πρέπει να συμπεριλάβουν όλες τις πιθανές απειλές, να τις αξιολογήσουν, να συνυπολογίσουν τα απαραίτητα χρηματικά 15

κονδύλια που θα πρέπει να επενδυθούν στην κατεύθυνση αυτή και να έρθουν σε συνεννόηση με τη διοίκηση της επιχείρησης ή του οργανισμού ούτως ώστε η όλη διαδικασία να είναι προς όφελος της επιχείρησης και να συμπορεύεται με τα συμφέροντα και τους στόχους της. Το πλέον δύσκολο κομμάτι της διαδικασίας είναι να βρεθεί η χρυσή τομή μεταξύ των ειδικών ασφαλείας και της διοίκησης που η οπτική γωνία τους στο θέμα της ασφάλειας διαφέρει λόγω υποβάθρου και αντικειμένου. Είναι απαραίτητο η διοίκηση να πειστεί για την αναγκαιότητα και την κρισιμότητα του θέματος της ασφάλειας των συστημάτων της. Σαφώς το αντικείμενο, το μέγεθος και η δυναμική της επιχείρησης είναι παράγοντες που καθορίζουν το τελικό σχέδιο που θα εκπονηθεί και τον αντίστοιχο προϋπολογισμό. Αναλυτικότερα το σχέδιο θα πρέπει να προβλέπει τα παρακάτω: Αναγνώριση και πρόβλεψη των πιθανών κινδύνων και καταγραφή τους στο σχέδιο δράσης. Υπολογισμός της πιθανότητας του κινδύνου για τη συγκεκριμένη περίπτωση καθώς και του κόστους που θα μπορούσε να προκαλέσει στην επιχείρηση. Το γινόμενο αυτό θα παρέχει στους ειδικούς το τελικό ποσό που πρέπει να δαπανηθεί για την προστασία από τον κίνδυνο αυτό. Προληπτική δράση των μηχανισμών ασφαλείας η οποία θα καθιστά τους μηχανισμούς αυτούς ικανούς να προβλέπουν τους κινδύνους και να τους σταματούν πριν εκδηλωθούν και βλάψουν το δίκτυο. Η καλύτερη τακτική είναι ως γνωστόν η πρόληψη και όχι η αντιμετώπιση του προβλήματος. Αντιμετώπιση των απειλών σε περίπτωση που το σύστημα τεθεί στόχος τους. Τα συστήματα ασφαλείας θα πρέπει να είναι σε θέση σε περίπτωση απειλής του συστήματος να την αντιμετωπίσουν εγκαίρως και αποτελεσματικά πριν βλάψουν το δίκτυο και ιδανικά χωρίς να διακοπεί η λειτουργία του και χωρίς να γίνει καν αισθητό στους χρήστες του δικτύου. Εκπόνηση αυστηρής και διευρυμένης πολιτικής ασφαλείας που αφορά όλους τους χρήστες και τα συστήματα και εφαρμόζεται οριζόντια και κάθετα στην επιχείρηση καθολικά. Η πολιτική ασφαλείας θα πρέπει να περιέχει απαράβατους κανόνες ασφάλειας που δεν θα αφήνουν περιθώρια επιλογής στο χρήστη, με γνώμονα τη δική του ασφάλεια αλλά και του συστήματος συνολικά. Οι κανόνες θα περιλαμβάνουν δικαιώματα και διαβάθμιση χρηστών, πολιτική κωδικών πρόσβασης και άλλων μεθόδων ταυτοποίησης χρηστών (βιομετρικά, έξυπνες κάρτες κλπ), κλείδωμα διεπαφών του υλικού (usb ports, parallel, serial, floppy disks, optical drives etc) περιορισμό δικαιωμάτων στους σταθμούς εργασίας και στους δικτυακούς πόρους, χρήση proxy servers και απαγόρευση δικτυακών τόπων στους οποίους έχουν πρόσβαση οι χρήστες, φυσική ασφάλεια των συστημάτων. Επιπλέον θα πρέπει να καθορίζει ρόλους και αρμοδιότητες σε χρήστες, διαχειριστές και συστήματα. Θα πρέπει ο κανονισμός να προβλέπει νομικές διατάξεις που αφορούν στις ηλεκτρονικές επιθέσεις και πως αυτές αντιμετωπίζονται από τη δικαιοσύνη. Τέλος θα πρέπει η πολιτική να είναι σαφής, σωστά δομημένη και κατανοητή από όλες τις βαθμίδες των υπαλλήλων και να φροντίζεται η εφαρμογή της καθολικά. Εφόσον η πολιτική ασφαλείας εκπονηθεί, οι ειδικοί και οι υπεύθυνοι ασφαλείας θα πρέπει συνεχώς να ανανεώνουν την πολιτική φροντίζοντας για την συνεχή επισκόπηση, αναθεώρηση και την επικαιροποίηση της. Η πολιτική θα πρέπει να 16

ακολουθεί την ραγδαία εξέλιξη της τεχνολογίας και να προβλέπει συνεχώς παραπάνω απειλές και ενδεχόμενους κινδύνους. Πέραν αυτών θα πρέπει να θεσπιστεί ένα σχέδιο έκτακτης ανάγκης το οποίο θα πρέπει να συμπληρώνει το σχέδιο ασφάλειας και να φροντίζει ούτως ώστε ο χρόνος διακοπής της ομαλής λειτουργίας του συστήματος να ελαχιστοποιηθεί ή ακόμα και να εκμηδενιστεί αν είναι δυνατόν. Θα πρέπει να προβλέπει για τον περιορισμό της έκτασης των ζημιών στο ελάχιστο δυνατό. Επιπροσθέτως θα πρέπει να προβλέπει την ομαλή και ταχύτατη αποκατάσταση της ομαλής λειτουργίας του συστήματος και την ελαχιστοποίηση των οικονομικών επιπτώσεων του οργανισμού ή της επιχείρησης. Τέλος η σωστή εφαρμογή της πολιτικής και των κανονισμών ασφαλείας, παράλληλα με την σωστή και συχνή εκπαίδευση των χρηστών θα βοηθήσουν δραστικά στην διασφάλιση του συστήματος και του έργου των ειδικών ασφαλείας του οργανισμού. Ερώτημα 4: Αξιολογήστε τα πιο σημαντικά εργαλεία και τις τεχνολογίες για τη διασφάλιση των πληροφοριακών πόρων Η διασφάλιση των πληροφοριακών συστημάτων ενός οργανισμού είναι αποτέλεσμα συνεργασίας ειδικών επί του θέματος, πολιτικών και κανονισμών ασφάλειας και βέβαια λογισμικών και μηχανογραφικού εξοπλισμού. Πέραν των δύο πρώτων παραγόντων υπάρχει ένα ευρύ φάσμα εργαλείων και συσκευών στην υπηρεσία των ειδικών ασφάλειας που τους βοηθούν στη διασφάλιση και τν προστασία των πληροφοριακών συστημάτων. Από πλευράς εξοπλισμού παρέχονται firewalls, routers, switches, proxies και άλλες δικτυακές συσκευές και εξυπηρετητές με κατάλληλο λογισμικό ασφάλειας. Από πλευράς λογισμικού παρέχονται λύσεις firewall, μηχανισμού packet και content filtering, λογισμικά antivirus και antimalware, συστήματα Intrusion Detection και Intrusion Prevention, εφαρμογές προσομοίωσης απειλών και επιθέσεων, μηχανισμούς εποπτείας και παρακολούθησης των συστημάτων και του δικτύου, ημερολογιακή καταγραφή ενεργειών (loggers) και γεννήτριες αναφορών προς τους διαχειριστές (reporting). 17

Βιβλιογραφία: Stallings, W and Brown, L. (2008) Computer security: principles and practice. Upper Saddle River, NJ: Pearson Prentice Hall. McClure, S., Scambray, J. and Kurtz, G. (2001) Hacking exposed. London: Osborne/McGraw Hill. Proctor, P. E. (2001) The practical detection handbook. Upper Saddle River, NJ: Prentice Hall. Journals: Computer Networks, Elsevier publication Computer and Security, Elsevier publication Information Security and Digital Forensics, IJISDF, Inderscience 18