ΑΞΙΟΛΟΓΗΣΗ ΕΥΠΑΘΕΙΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΛΛΗΝΙΚΩΝ ΦΟΡΕΩΝ ΚΑΙ ΕΠΙΧΕΙΡΗΣΕΩΝ

Σχετικά έγγραφα
Σχολή Διοίκησης και Οικονομίας. Μεταπτυχιακή διατριβή

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΙΡΑΙΩΣ ΤΜΗΜΑ ΟΙΚΟΝΟΜΙΚΗΣ ΕΠΙΣΤΗΜΗΣ ΑΜΕΣΕΣ ΞΕΝΕΣ ΕΠΕΝΔΥΣΕΙΣ ΣΕ ΕΥΡΩΠΑΙΚΕΣ ΧΩΡΕΣ

Τείχος Προστασίας Εφαρμογών Διαδικτύου

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ ΤΜΗΜΑ ΝΟΣΗΛΕΥΤΙΚΗΣ

ΑΝΑΠΤΥΞΗ ΛΟΓΙΣΜΙΚΟΥ ΓΙΑ ΤΗ ΔΙΕΝΕΡΓΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΜΕΛΕΤΩΝ

Ασφάλεια σε χώρους αναψυχής: Ένα σύστημα από έξυπνα αντικείμενα

Κεφάλαιο 6ο ΕΠΙΠΕΔΟ ΕΦΑΡΜΟΓΗΣ. Εισαγωγή

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΠΡΟΤΕΙΝΟΜΕΝΑ ΘΕΜΑΤΑ ΣΤΑ ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ Γ Τάξη Ε.Π.Α.Λ.

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Πολιτική Ασφαλείας Δεδομένων Πιστοποίηση ISO 27001:2013 από την TÜV Austria Hellas

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙ ΕΥΤΙΚΟ Ι ΡΥΜΑ ΚΡΗΤΗΣ ΣΧΟΛΗ ΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Πρακτικά όλα τα προβλήματα ασφαλείας οφείλονται σε λάθη στον κώδικα

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ ΣΧΟΛΗ ΜΗΧΑΝΙΚΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ. Πτυχιακή εργασία ΟΛΙΣΘΗΡΟΤΗΤΑ ΚΑΙ ΜΑΚΡΟΥΦΗ ΤΩΝ ΟΔΟΔΤΡΩΜΑΤΩΝ ΚΥΚΛΟΦΟΡΙΑΣ

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

Ανάπτυξη πλήρους διαδικτυακής e-commerce εφαρμογής με χρήση του CMS WordPress

Εργαστήριο Βάσεων Δεδομένων. Εισαγωγικό Φροντιστήριο Βασικές Έννοιες - Ανάλυση Απαιτήσεων

ΔΙΑΓΩΝΙΣΜΑ ΤΕΛΙΚΗΣ ΕΠΑΝΑΛΗΨΗΣ ΣΤΙΣ ΕΝΟΤΗΤΕΣ

ΤΕΧΝΟΛΟΓΙΕΣ & ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΙΩΑΝΝΗ Δ. ΙΓΓΛΕΖΑΚΗ

ΟΙΚΟΝΟΜΟΤΕΧΝΙΚΗ ΑΝΑΛΥΣΗ ΕΝΟΣ ΕΝΕΡΓΕΙΑΚΑ ΑΥΤΟΝΟΜΟΥ ΝΗΣΙΟΥ ΜΕ Α.Π.Ε

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 6 ΣΕΛΙΔΕΣ

Διπλωματική Εργασία. Σχεδίαση και ανάπτυξη ιστοχώρου για την αξιολόγηση σεμιναρίων και μαθημάτων

Εθνικό Αστεροσκοπείο Αθηνών, Ινστιτούτο Περιβάλλοντος και Βιώσιμης Ανάπτυξης

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

ΒΕΛΤΙΩΣΗ ΔΙΕΡΓΑΣΙΩΝ ΕΡΓΑΣΤΗΡΙΟΥ ΕΛΕΓΧΟΥ ΠΟΙΟΤΗΤΑΣ ΚΑΙ ΕΦΑΡΜΟΓΗ ΕΡΓΑΛΕΙΩΝ ΔΙΑΣΦΑΛΙΣΗΣ ΠΟΙΟΤΗΤΑΣ ΣΕ ΜΕΤΑΛΛΟΒΙΟΜΗΧΑΝΙΑ

ΕΛΕΓΧΟΣ ΠΡΟΓΡΑΜΜΑΤΟΣ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΣΥΝΕΧΕΙΑΣ (Auditing Business Continuity Plan & Disaster Recovery Plan)

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

Σκοπιµότητα των firewalls

Η αξία της έρευνας ευπαθειών στις δοκιμές παρείσδυσης. Δρ Πάτροκλος Αργυρούδης / Ερευνητής Ασφάλειας Η/Υ

Σ ΤΑΤΙΣΤΙΚΗ ΑΝΑΛΥΣΗ ΚΑΙ ΕΡΜΗΝΕΙΑ ΑΠΟΤΕΛΕΣΜΑΤΩΝ

ΑΣΦΑΛΕΙΑΣ ΣΕ INTERNET HOSTS

SOS Ερωτήσεις Δίκτυα Υπολογιστών ΙΙ

ΔΗΜΙΟΥΡΓΙΑ ΣΥΣΤΗΜΑΤΟΣ ΔΕΙΚΤΩΝ ΑΣΤΙΚΗΣ ΒΙΩΣΙΜΟΤΗΤΑΣ ΓΙΑ ΤΗΝ ΕΠΑΡΧΙΑ ΛΕΜΕΣΟΥ

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

Kyriakou, Eupraxia. Neapolis University. þÿ Á̳Á±¼¼± ¼Ìù±Â ¹ º à Â, Ç» Ÿ¹º ½ ¼¹ºÎ½ À¹ÃÄ ¼Î½ º±¹ ¹ º à  þÿ ±½µÀ¹ÃÄ ¼¹ µ À»¹Â Æ Å

ΔΗΜΟΣΙΑ ΠΟΛΙΤΙΚΗ. για την προστασία Φυσικών Προσώπων έναντι της επεξεργασίας προσωπικών δεδομένων τους

Κεφάλαιο 5 Κριτήρια απόρριψης απόμακρων τιμών

Μεταπτυχιακή διατριβή. Ανδρέας Παπαευσταθίου

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΙΣ ΕΝΟΤΗΤΕΣ

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

Πολιτική για την Ιδιωτικότητα και την Προστασία των Προσωπικών Δεδομένων

ΠΡΟΑΙΡΕΤΙΚΑ ΣΕΜΙΝΑΡΙΑ Πληροφορική και Επιστήμη Ηλεκτρονικών Υπολογιστών

ΠΡΟΓΡΑΜΜΑ ΜΕΤΑΠΤΥΧΙΑΚΩΝ ΣΠΟΥΔΩΝ «ΔΙΟΙΚΗΣΗ της ΥΓΕΙΑΣ» ΑΞΙΟΛΟΓΗΣΗ ΑΠΟΔΟΣΗΣ ΠΡΟΣΩΠΙΚΟΥ: ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ ΙΔΙΩΤΙΚΟΥ ΝΟΣΟΚΟΜΕΙΟΥ ΠΑΡΑΓΙΟΥΔΑΚΗ ΜΑΓΔΑΛΗΝΗ

7.2 Τεχνολογία TCP/IP

. Εργαστήριο Βάσεων Δεδομένων. Εισαγωγικό Μάθημα Βασικές Έννοιες - Ανάλυση Απαιτήσεων

16REQ

þÿ ½ Á Å, ˆ»µ½± Neapolis University þÿ Á̳Á±¼¼± ¼Ìù±Â ¹ º à Â, Ç» Ÿ¹º ½ ¼¹ºÎ½ À¹ÃÄ ¼Î½ º±¹ ¹ º à  þÿ ±½µÀ¹ÃÄ ¼¹ µ À»¹Â Æ Å

ΜΗΤΡΙΚΟΣ ΘΗΛΑΣΜΟΣ ΚΑΙ ΓΝΩΣΤΙΚΗ ΑΝΑΠΤΥΞΗ ΜΕΧΡΙ ΚΑΙ 10 ΧΡΟΝΩΝ

Εισαγωγικό Μάθημα Βασικές Έννοιες - Ανάλυση Απαιτήσεων

Εργαστήριο Βάσεων Δεδομένων. Εισαγωγικό Φροντιστήριο Βασικές Έννοιες - Ανάλυση Απαιτήσεων

Υπηρεσίες ιστού και ιδιωτικότητα: Μια προσέγγιση βασισμένη στη δημιουργία προφίλ χρήστη για προσαρμοστικούς ιστότοπους

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας Βιβλιοθηκονοµίας. Μοντέλο TCP/IP. Ενότητα E. Συστήµατα Επικοινωνίας

ΠΙΛΟΤΙΚΗ ΕΦΑΡΜΟΓΗ ΑΥΤΟΝΟΜΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΟΗΓΗΣΗΣ ΓΙΑ ΤΗΝ ΠΑΡΑΓΩΓΗ ΥΨΗΛΗΣ ΑΝΑΛΥΣΗΣ ΟΡΘΟΦΩΤΟΓΡΑΦΙΩΝ ΓΕΩΡΓΙΚΩΝ ΕΚΤΑΣΕΩΝ

Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων στον Δήμο Καλαμαριάς. 2 Πολιτική Προστασίας Ιδιωτικότητας και Προσωπικών Δεδομένων

ΕΙΝΑΙ Η ΕΠΙΧΕΙΡΗΣΗ ΜΟΥ ΑΣΦΑΛΗΣ; CHECKLIST

Βασικές Έννοιες Web Εφαρμογών

ίκτυα - Internet Μάθηµα 3ο Ενότητα Β: Το Πρότυπο ΤCP/IP Eισαγωγή - Επικοινωνία µεταξύ δύο Υπολογιστών Παρασκευή 10 NOE 2006 ιευθύνσεις

Α2. Να γράψετε τους αριθμούς 1-5 από τη Στήλη Α και δίπλα το γράμμα της Στήλης Β που δίνει τη σωστή αντιστοίχηση.

Δίκτυα Υπολογιστών ΙΙ (Ασκήσεις Πράξης)

þÿ P u b l i c M a n a g e m e n t ÃÄ ½ ¼ÌÃ

Εργαστήριο Βάσεων Δεδομένων. Εισαγωγικό Φροντιστήριο Βασικές Έννοιες - Ανάλυση Απαιτήσεων

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ ΣΧΟΛΗ ΓΕΩΠΟΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΚΑΙ ΕΠΙΣΤΗΜΗΣ ΚΑΙ ΤΕΧΝΟΛΟΓΙΑΣ ΠΕΡΙΒΑΛΛΟΝΤΟΣ. Πτυχιακή εργασία

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

XAMPP Apache MySQL PHP javascript xampp

Τίτλος Ειδικού Θεματικού Προγράμματος: «Διοίκηση, Οργάνωση και Πληροφορική για Μικρο-μεσαίες Επιχειρήσεις»

Network Address Translation (NAT)

Ασφάλεια Πληροφοριακών Συστημάτων

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

HP Network Node Manager (NNM) Tutorial

HELECO 05. Αθανάσιος Νταγκούµας, Νίκος Λέττας, ηµήτρης Τσιαµήτρος, Γρηγόρης Παπαγιάννης, Πέτρος Ντοκόπουλος

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

CYBER INSURANCE BY.

Εγχειρίδιο Συντονιστή Τηλεδιασκέψεων Υπηρεσίας e:presence

ΕΚΦΩΝΗΣΕΙΣ. β. Να γράψετε αναλυτικά τα μειονεκτήματα της χρήσης των πινάκων. γ. Να γράψετε ονομαστικά τις τυπικές επεξεργασίες των πινάκων.

7.8 Σύστημα Ονομάτων Περιοχών (Domain Name System, DNS) Χώρος Ονομάτων του DNS

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ

Διαδικτυακό Περιβάλλον Διαχείρισης Ασκήσεων Προγραμματισμού

ISMS κατά ISO Δεκέμβριος 2016

Σύντομη παρουσίαση των εργαλείων/εντολών telnet, ping, traceroute nslookup και nmap, zenmap


Μονάδα Διασφάλισης Ποιότητας. ΜΟΔΙΠ Πανεπιστημίου Δυτικής Μακεδονίας. Κωδικός Πράξης ΟΠΣ: Επιχειρησιακό Πρόγραμμα:

þÿÿ ÁÌ» Â Ä Â ³µÃ ±Â ÃÄ ½ ±À

ΝΑΥΤΙΛΙΑΚΟΙ ΚΥΚΛΟΙ ΚΑΙ ΧΡΗΜΑΤΟΔΟΤΗΣΗ ΝΑΥΤΙΛΙΑΚΩΝ ΕΠΕΝΔΥΣΕΩΝ

þÿ ½ ÁÉÀ ºµ½ÄÁ¹º ÀÁ à ³³¹Ã Ä þÿ Á³±½Éù±º  ±»»±³  ¼ ÃÉ þÿà» Á Æ Á¹±º Í ÃÅÃÄ ¼±Ä Â.

Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α

Θέματα Ατομικής Διπλωματικής Εργασίας Ακαδημαϊκό Έτος 2017/2018. Γεωργία Καπιτσάκη (Επίκουρη Καθηγήτρια)

Εργασία «Διαχείριση Δικτύων» Ιούνιος 2014, Θεσ/νίκη

Έκδοσης 2005 Π. Κεντερλής

Τμήμα Πολιτικών και Δομικών Έργων

Προσδιορισμός Σημαντικών Χαρακτηριστικών της Αυθόρμητης Δραστηριότητας Απομονωμένου Εγκεφαλικού Φλοιού in vitro

Διαχείριση Ειδοποιήσεων με Κινητές Συσκευές

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ ΣΧΟΛΗ ΓΕΩΤΕΧΝΙΚΩΝ ΕΠΙΣΤΗΜΩΝ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗΣ ΠΕΡΙΒΑΛΛΟΝΤΟΣ. Πτυχιακή εργασία

Σχολή Μηχανικής και Τεχνολογίας. Πτυχιακή εργασία

Πολιτική Ασφαλείας Προσωπικών Δεδομένων GDPR General Data Protection Regulation

ΠΑΝΕΠΙΣΤΗΜΙΟ ΠΕΛΟΠΟΝΝΗΣΟΥ ΣΧΟΛΗ ΕΠΙΣΤΗΜΩΝ ΑΝΘΡΩΠΙΝΗΣ ΚΙΝΗΣΗΣ ΚΑΙ ΠΟΙΟΤΗΤΑΣ ΖΩΗΣ ΤΜΗΜΑ ΝΟΣΗΛΕΥΤΙΚΗΣ

Υλοποίηση Συστήματος Ανίχνευσης Εισβολών σε Περιβάλλον Android για Ασύρματα Δίκτυα Πρόσβασης

Τεχνολογίες ιαδικτύου

Transcript:

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ & ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΑΞΙΟΛΟΓΗΣΗ ΕΥΠΑΘΕΙΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΕΛΛΗΝΙΚΩΝ ΦΟΡΕΩΝ ΚΑΙ ΕΠΙΧΕΙΡΗΣΕΩΝ Η Διπλωματική Εργασία παρουσιάστηκε ενώπιον του Διδακτικού προσωπικού του Πανεπιστημίου Αιγαίου Σε Μερική Εκπλήρωση Των απαιτήσεων για το Μεταπτυχιακό Δίπλωμα Ειδίκευσης στις «Τεχνολογίες και Διοίκηση Πληροφοριακών και Επικοινωνιακών Συστημάτων» Καράμπελας Λουκάς 323Μ/2011008 Καρλόβασι, Σάμος 04/02/2013

ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΟΥ: ΚΑΡΑΜΠΕΛΑ ΛΟΥΚΑ Κοκολάκης Σπύρος, Επιβλέπων Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Γεώργιος Καμπουράκης Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Μαρία Καρύδα, Μέλος Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ ΦΕΒΡΟΥΑΡΙΟΣ 2013 2

Περίληψη Στην παρούσα διπλωματική εργασία, παρουσιάζονται και αναλύονται τα αποτελέσματα που προέκυψαν από έρευνα που πραγματοποιήθηκε για το Εργαστήριο Ασφάλειας Πληροφοριακών και Επικοινωνιακών Συστημάτων του Πανεπιστημίου Αιγαίου. Η έρευνα είχε ως στόχο τον προσδιορισμό των πιο κοινών ευπαθειών ασφάλειας που συναντώνται σε ιστοχώρους (web servers) δημοσίων φορέων και ιδιωτικών επιχειρήσεων που διατηρούν τη φυσική τους παρουσία στον ελληνικό χώρο, σε μία προσπάθεια αναβάθμισης της ασφάλειάς τους. Για την μελέτη των συστημάτων χρησιμοποιήθηκε το εργαλείο αξιολόγησης ευπαθειών HIAB 1 της εταιρείας Outpost24 2. Κατά τη διάρκεια της μελέτης αναλύθηκαν 35 Πληροφοριακά Συστήματα 25 ελληνικών φορέων και επιχειρήσεων που εκτίθενται απευθείας στο διαδίκτυο. Πιο αναλυτικά, ελέγχθηκαν 16 συστήματα 11 δημόσιων φορέων και 19 συστήματα 14 ιδιωτικών επιχειρήσεων. Από την έρευνα προκύπτει ότι το επίπεδο της ασφάλειας είναι χαμηλό και στις δύο περιπτώσεις. Ωστόσο, ο δημόσιος τομέας φαίνεται να είναι λιγότερο εκτεθειμένος όσον αφορά τις απ ευθείας εξωτερικές επιθέσεις. Συγκεκριμένα, στο σύνολο εντοπίστηκαν 2180 ευπάθειες εκ των οποίων οι 581 ήταν ευπάθειες Υψηλού Κινδύνου. Όλοι οι συμμετέχοντες έλαβαν μέρος στην έρευνα οικειοθελώς και στη συνέχεια ενημερώθηκαν για τις αδυναμίες που εντοπίστηκαν στα συστήματα τους. Πρόθεση της έρευνας είναι τα αποτελέσματά της να λειτουργήσουν ως κίνητρο προκειμένου οι διαδικασίες Αξιολόγησης και Διαχείρισης Ευπαθειών να ενταχθούν σε μόνιμο και σταθερό πρόγραμμα από τους διαχειριστές των Πληροφοριακών Συστημάτων. 1 http://www.outpost24.com/hiab/ 2 http://outpost24.com/ 3

Abstract The current MSc Thesis presents the results of a study that was conducted for the Laboratory of Information & Communication Systems Security at the University of the Aegean. The study was conducted to identify the most common software security vulnerabilities that are detected in web servers of companies (private sector) as well as institutions and organizations of the public sector that have a physical presence in Greece, in an effort to help them improve their IT security. The study used the vulnerability scanning tool HIAB, provided by Outpost24. During the study there have been analyzed 35 hosts run by 25 different institutions and companies that are exposed to the public internet. More specifically, there have been scanned 16 hosts run by 11 institutions of the public sector and 19 hosts run by 14 private companies. The study shows that both in the public and the private sector, the security level is low. However, the public sector seems less exposed regarding the direct external attacks. Furthermore, the vulnerability analysis revealed a total of 2180 weaknesses, while a number of 581 weaknesses were classified as of high risk. All participants had given their consent for the conducted vulnerability scans and were afterwards informed about the identified weaknesses in their systems. This study intends through its results to act as an incentive for the IT administrators to perform the Vulnerability Assessment and Vulnerability Management processes on a permanent and frequent basis. 4

Ευχαριστίες Σε αυτό το σημείο οφείλω να ευχαριστήσω τους ανθρώπους που με στήριξαν και με βοήθησαν κατά την εκπόνηση αυτής της διπλωματικής εργασίας. Ξεκινώντας με τον επιβλέποντα καθηγητή μου κ. Σπύρο Κοκολάκη, τον ευχαριστώ ιδιαίτερα για την άμεση καθοδήγησή του και για την άψογη συνεργασία που είχαμε καθ όλη τη διάρκεια διεξαγωγής της έρευνας. Στη συνέχεια θα ήθελα να ευχαριστήσω τους γονείς, τον αδερφό, τους συγγενείς και τους φίλους μου και όλο τον κόσμο που ενδιαφέρθηκε και προσπάθησε προκειμένου ο αριθμός των εθελοντών προς συμμετοχή στην έρευνα να είναι όσο το δυνατόν μεγαλύτερος ώστε τα αποτελέσματα που θα εξαχθούν να απεικονίζουν καλύτερα την πραγματικότητα. Οι άνθρωποι αυτοί συνετέλεσαν στην εύρεση του μεγαλύτερου μέρους των συμμετεχόντων επομένως σε αυτούς οφείλεται και το μεγαλύτερο μέρος της επιτυχίας της έρευνας. Επίσης τους τεχνικούς των εταιρειών και των φορέων για το ενδιαφέρον και την εξαιρετική συνεργασία που είχαμε αποκομίζοντας γνώσεις και εμπειρίες από κοινού. Τέλος θα ήθελα να ευχαριστήσω την φίλη μου, αρχιτέκτονα και σκηνογράφο Μάρω Τσάγκα για τον σχεδιασμό των εικόνων του εξωφύλλου μου. 5

Περιεχόμενα Περιεχόμενα... 6 1. Εισαγωγή... 7 1.1. Σκοπός και Στόχοι... 7 1.2. Πηγές και Όρια... 7 1.3. Δομή διπλωματικής... 8 2. Η έρευνα... 8 2.1. Ευπάθειες και Αξιολόγηση & Διαχείρηση Ευπαθειών... 8 2.2. Είδη ευπαθειών και διεθνή Πρότυπα... 11 2.3. Το εργαλείο της έρευνας... 12 2.4. Η μεθοδολογία της έρευνας... 14 2.5. Συνοπτικά Αποτελέσματα... 15 2.6. Στοιχεία των ελεγχθέντων συστημάτων... 15 3. Συγκεντρωτικά Στατιστικά Αποτελέσματα... 17 3.1. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας 17 3.2. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών... 18 3.3. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης... 19 3.4. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Βαθμού Επικινδυνότητας CVSS 21 4. Αναλυτικά Στατιστικά Αποτελέσματα... 22 4.1. Αναλυτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας... 22 4.2. Αναλυτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών... 23 4.3. Αναλυτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης... 58 4.4. Αναλυτικά στατιστικά αποτελέσματα βάσει του Βαθμού Επικινδυνότητας CVSS 70 5. Ανάλυση αποτελεσμάτων... 82 6. Συμπεράσματα και Περαιτέρω Έρευνα... 85 6.1. Σύνοψη και συμπεράσματα... 85 6.2. Αξιοποίηση της έρευνας... 85 7. Βιβλιογραφία... 86 6

1. Εισαγωγή 1.1. Σκοπός και Στόχοι Η παρούσα διπλωματική εργασία είχε δύο βασικούς στόχους. Κατ αρχάς, μέσω ενός δείγματος εθελοντών που διατηρούν Πληροφοριακά Συστήματα με φυσική παρουσία στον ελληνικό χώρο, ήταν ο προσδιορισμός των πιο συνηθισμένων ευπαθειών που απειλούν τα σύγχρονα αυτά συστήματα και παράλληλα η άμεση αναβάθμιση της ασφάλειάς τους. Οι συμμετέχοντες, μετά τον εντοπισμό των ευπαθειών που απειλούσαν τα συστήματά τους, είχαν πλέον τη δυνατότητα να τις επιδιορθώσουν άμεσα και παράλληλα να υπολογίσουν την έκθεσή τους στον κίνδυνο που επικρατούσε όλο το χρονικό διάστημα από την δημοσιοποίηση της εκάστοτε ευπάθειας μέχρι την επιδιόρθωσή της. Σκοπός ήταν η δημιουργία μιας κουλτούρας, σε επιχειρήσεις αλλά και σε δημόσιους φορείς, συστηματικής εφαρμογής των διαδικασιών Αξιολόγησης και Διαχείρισης Ευπαθειών, ώστε να μεγιστοποιηθεί η ασφάλεια των συστημάτων και να περιοριστούν οι πιθανές μελλοντικές αποτελεσματικές επιθέσεις που οφείλονται στην εκμετάλλευση των ευπαθειών. Η προσπάθεια αυτή έγινε με την ενημέρωση των διαχειριστών των συστημάτων που συμμετείχαν στην έρευνα, τόσο για τον κίνδυνο των ευπαθειών όσο και για τις παραπάνω διαδικασίες (Αξιολόγησης και Διαχείρισης Ευπαθειών). 1.2. Πηγές και Όρια Κύρια πηγή αποτέλεσε μία αντίστοιχη έρευνα, η A study of Network Perimeter Security 3 που πραγματοποιήθηκε τον Μάιο του 2010 από το Τμήμα Έρευνας Λογισμικών Επιχειρήσεων (Software Business Research Unit) του Πανεπιστημίου Τεχνολογίας του Helsinki (σημερινό Πανεπιστήμιο Aalto 4 ) όπου εντοπίστηκαν 532 αδυναμίες σε 42 συστήματα από 32 εταιρείες. Τα όρια καθορίστηκαν σε γενικές γραμμές από την παραπάνω μελέτη. Ειδικότερα: Προϋποθέσεις συμμετοχής ήταν τα συστήματα που πρόκειται να ελεγχθούν να διατηρούν τη φυσική τους παρουσία στον ελληνικό χώρο, να συνδέονται άμεσα με το διαδίκτυο και η διαχείρισή τους να γίνεται από τους ίδιους τους συμμετέχοντες. Οι συμμετέχοντες έλαβαν μέρος στην έρευνα οικειοθελώς και μόνο κατόπιν συνεννόησης. Για τον εντοπισμό των τρωτών σημείων χρησιμοποιήθηκε το εργαλείο HIAB της Outpost24. Τηρήθηκε η ανωνυμία των συμμετεχόντων με μοναδικούς παραλήπτες των αποτελεσμάτων πρόσωπα που μας υπέδειξαν οι αρμόδιοι. 3 http://www.outpost24.com/publify.resource/media/documents/o24_tkk_study.pdf/ 4 http://www.bit.tkk.fi/ 7

Όσον αφορά τους συμμετέχοντες, σε αντίθεση με την παραπάνω έρευνα που διεξήχθη μόνο σε επιχειρήσεις, η παρούσα έρευνα πραγματοποιήθηκε επιπλέον σε δήμους και κέντρα διαχείρισης δικτύων εκπαιδευτικών ιδρυμάτων. 1.3. Δομή διπλωματικής Μετά την εισαγωγή, στο δεύτερο κεφάλαιο περιγράφονται βασικές έννοιες, το εργαλείο που χρησιμοποιήθηκε για την διεξαγωγή της έρευνας, η μεθοδολογία της έρευνας, συνοπτικά τα αποτελέσματά που προέκυψαν και τέλος αναφέρονται τα στοιχεία των συστημάτων που ελέγχτηκαν. Στο τρίτο κεφάλαιο παρουσιάζονται τα συγκεντρωτικά στατιστικά αποτελέσματα της έρευνας. Συγκεκριμένα, συγκεντρώθηκαν όλα τα αποτελέσματα και ταξινομήθηκαν βάσει του επιπέδου επικινδυνότητας, της οικογένειας ευπαθειών, της πόρτας εμφάνισής τους και τέλος του βαθμού CVSS. Στο τέταρτο κεφάλαιο παραθέτονται αναλυτικά τα αποτελέσματα ταξινομημένα βάσει του επιπέδου επικινδυνότητας, της οικογένειας ευπαθειών, της πόρτας εμφάνισής τους και του βαθμού CVSS για όλες τις ανιχνεύσεις μία προς μία. Επίσης αναφέρεται η συχνότητα εφαρμογής της διαδικασίας του Vulnerability Assessment στο παρελθόν για κάθε σύστημα που μελετήθηκε. Στο πέμπτο κεφάλαιο αναλύονται τα αποτελέσματα βάσει του χώρου προέλευσης (δημόσιος / ιδιωτικός τομέας), βάσει του είδους του αντικειμένου ενασχόλησης, βάσει του μεγέθους όσον αφορά της επιχειρήσεις και βάσει της συχνότητας εφαρμογής της διαδικασίας αξιολόγησης ευπαθειών στο παρελθόν. Τέλος, το έκτο κεφάλαιο περιέχει συμπεράσματα και παρατηρήσεις, καθώς και τρόπους με τους οποίους μπορεί να αξιοποιηθεί η συγκεκριμένη έρευνα. 2. Η έρευνα 2.1. Ευπάθειες και Αξιολόγηση & Διαχείρηση Ευπαθειών Ίσως το κυριότερο θέμα ασφάλειας που απειλεί ένα σύγχρονο Πληροφοριακό Σύστημα είναι η ύπαρξη ευπαθειών στο λογισμικό του. Οι ευπάθειες αυτές (ή αλλιώς τρωτά σημεία) μπορεί να οφείλονται σε πολλούς παράγοντες, οι πιο συνηθισμένοι από τους οποίους είναι κακές ρυθμίσεις του συστήματος, αλλαγές σε μεταβλητές του περιβάλλοντος είτε μειονεκτήματα ή προγραμματιστικά λάθη στον κώδικα του λογισμικού που περιέχεται στο Πληροφοριακό Σύστημα (βλ. και 2.2). Ένας επιτιθέμενος είναι πιθανό να μπορέσει να «εκμεταλλευτεί» τις ευπάθειες για να αποκτήσει δικαιώματα που δεν θα έπρεπε να είχε, με αποτέλεσμα να κινδυνεύει η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα της πληροφορίας που διαχειρίζεται το Πληροφοριακό Σύστημα. Τέτοιου είδους αδυναμίες ανακαλύπτονται κάθε μέρα, με αποτέλεσμα τα Πληροφοριακά Συστήματα να βρίσκονται 8

συνεχώς εκτεθειμένα σε καινούριους κινδύνους, άρα και σε νέες πιθανές επιθέσεις. Η βάση δεδομένων ευπαθειών (National Vulnerability Database) [2] του Εθνικού Ινστιτούτο Προτύπων και Τεχνολογίας (National Institute of Standards and Technology - NIST) 5 περιέχει πάνω από 54.000 γνωστές ευπάθειες. Οι σύγχρονοι επιτιθέμενοι ενημερώνονται συνεχώς για την εμφάνιση νέων ευπαθειών για να τις εκμεταλλευτούν άμεσα, πριν προλάβουν τα υποψήφια θύματα να διορθώσουν τα κενά των Πληροφοριακών Συστημάτων τους. Όπως προαναφέρθηκε, ένας από τους παράγοντες ύπαρξης των ευπαθειών και ίσως ο κυριότερος, είναι προγραμματιστικά λάθη στο λογισμικό. Επομένως, θα μπορούσε να πει κανείς ότι η ευθύνη ανήκει στους πωλητές λογισμικών, δυστυχώς όμως πολλές φορές ο χρήστης καλείται να πάρει την κατάσταση στα χέρια του. Οι πωλητές λογισμικών έχουν συνειδητοποιήσει ότι η επιχείρησή τους κινδυνεύει εξαιτίας των ευπαθειών στα λογισμικά που διαθέτουν στην αγορά, κατά συνέπεια, προσπαθούν να αποποιηθούν την ευθύνη αυτή μέσω της άδειας συμφωνίας τελικού χρήστη (End-User License Agreements - EULA), που στις περισσότερες περιπτώσεις αποδεσμεύει τους προμηθευτές από τα θέματα διαχείρισης ευπαθειών [1], με αποτέλεσμα ο εντοπισμός τους και η επιδιόρθωσή τους να είναι αποκλειστική ευθύνη του χρήστη. Ακόμα και όταν οι προμηθευτές ανακαλύπτουν μία ευπάθεια σε προϊόν τους και προσπαθούν να ειδοποιήσουν τους πελάτες τους, συχνά δεν μπορούν να εκτιμήσουν την έκθεση του κάθε πελάτη στον κίνδυνο και να ανταποκριθούν στις επιμέρους ρυθμίσεις του καθενός από αυτούς. Για αυτό τον λόγο οι επιχειρήσεις και οι οργανισμοί που αντιμετωπίζουν συστηματικά ζητήματα ασφάλειας των συστημάτων τους υιοθετούν δύο διαδικασίες, τη διαδικασία της Αξιολόγησης Ευπαθειών (Vulnerability Assessment) και τη διαδικασία της Διαχείρισης Ευπαθειών (Vulnerability Management). Κατά την πρώτη διαδικασία (Vulnerability Assessment), αρχικά εκτελείται ανίχνευση ευπαθειών, στη συνέχεια, αφού αναγνωριστούν οι ευπάθειες, ταξινομούνται βάσει του βαθμού επικινδυνότητάς τους, ενώ παρέχονται και οδηγίες για την αντιμετώπισή τους. Οι οδηγίες αυτές μπορούν έπειτα να αξιοποιηθούν για τη δεύτερη διαδικασία (Vulnerability Management), όπου ο χρήστης αναγνωρίζει μόνος του τον κίνδυνο που προήλθε από μία ευπάθεια και αποφασίζει τον τρόπο με τον οποίο θα τον αντιμετωπίσει. Μία επιχείρηση μετά την τελευταία Αξιολόγηση Ευπαθειών στο Πληροφοριακό της Σύστημα μπορεί να εκτιμήσει την έκθεση της στον κίνδυνο που ήταν πιθανό να υπάρχει λαμβάνοντας υπόψη το είδος της ευπάθειας αλλά και το χρονικό διάστημα που υπάρχει στο Πληροφοριακό της Σύστημα και κυρίως το χρονικό διάστημα που είναι ευρέως γνωστή η συγκεκριμένη ευπάθεια. Η εφαρμογή της Διαδικασίας της Αξιολόγησης των ευπαθειών συνιστάται να γίνεται ανά τακτά χρονικά διαστήματα (ανά μέρα, ανά βδομάδα ή ανά μήνα το πολύ). Οι μεγάλες επιχειρήσεις συνήθως την εφαρμόζουν μία φορά την ημέρα ώστε τα Πληροφοριακά τους Συστήματα να μην εκτίθενται σχεδόν καθόλου σε νέες ευπάθειες και επομένως στους κινδύνους που πηγάζουν από αυτές. Η συχνότητα αυτή εκτός από το μέγεθος της επιχείρησης αυξάνεται όταν η επιχείρηση εισάγει συχνά καινοτόμα στοιχεία στο Πληροφορικό της Σύστημα. Τέτοια στοιχεία μπορεί να είναι καινούριες συσκευές ή καινούριο λογισμικό [5]. 5 Εθνικού Ινστιτούτο Προτύπων και Τεχνολογίας (http://www.nist.gov) 9

Επίσης, δεδομένου ότι οι περισσότερες παραβιάσεις της ασφάλειας προκύπτουν εκ των έσω, συνιστάται η διαδικασία να μην εφαρμόζεται μόνο περιμετρικά διότι, για παράδειγμα, ένας επιτιθέμενος μπορεί να εκμεταλλευτεί μία ευπάθεια ενός προγράμματος περιήγησης (π.χ. Internet Explorer) την ώρα που ένας εργαζόμενος περιηγείται σε ιστοσελίδες και να αποκτήσει πρόσβαση σε δεδομένα που δεν θα έπρεπε να είχε. Οι μεμονωμένες περιμετρικές μέθοδοι συνήθως δεν μπορούν να προστατεύσουν από τέτοιου είδους απειλές. Σε ένα Πληροφοριακό Σύστημα το αγαθό που απειλείται είναι η Πληροφορία, όμως αξίζει να σημειωθεί ότι μία διαδικασία Αξιολόγησης των Ευπαθειών δεν περιορίζεται μόνο στα Πληροφοριακά Συστήματα, αλλά χρησιμοποιείται για την εκτίμηση των ευπαθειών συστημάτων παροχής ενέργειας, ύδρευσης, μεταφοράς και επικοινωνίας, με απειλή του αντίστοιχου αγαθού αναλόγως το σύστημα. Πολλοί τεχνικοί συγχέουν την διαδικασία της Αξιολόγησης Ευπαθειών με τη διαδικασία της Δοκιμής Διείσδυσης (Penetration Test), αφού και στις δύο διαδικασίες εντοπίζονται οι αδυναμίες ενός συστήματος. Η διαφορά έγκειται στο γεγονός ότι κατά τη διαδικασία της Δοκιμής Διείσδυσης προσομοιώνονται επιθέσεις και εκτελούνται επικίνδυνα scripts τα οποία μπορεί να επηρεάσουν την κανονική λειτουργία του συστήματος που εξετάζεται, σε αντίθεση με την διαδικασία του Vulnerability Assessment όπου ο έλεγχος εκτελείται σε ασφαλή επίπεδα. Επίσης, η διαδικασία της Αξιολόγησης των Ευπαθειών (Vulnerability Assessment) διαφέρει από την διαδικασία Αξιολόγησης του Κινδύνου (Risk Assessment), όπου γίνεται εκτίμηση των πιθανών κινδύνων ενός συστήματος. Η κύρια διαφορά τους είναι ότι με τη διαδικασία Αξιολόγησης των Ευπαθειών μπορούν να εντοπιστούν μόνο υπαρκτές αδυναμίες του συστήματος, οι οποίες οφείλονται κυρίως σε προγραμματιστικές αδυναμίες του λογισμικού που εμπεριέχεται στο σύστημα είτε σε κακές ρυθμίσεις από μέρους των διαχειριστών του συστήματος. Η Διαχείριση των Ευπαθειών (Vulnerability Management) είναι αναπόσπαστο κομμάτι της Διαχείρισης της Ασφάλειας (Security Management) και ανήκει στο εύρος της Διαχείρισης του Κινδύνου (Risk Management). Η διεξαγωγή της δεν είναι εύκολη υπόθεση και οι λόγοι είναι πολλοί. Κατ αρχάς υπάρχουν πάρα πολλές ευπάθειες με διαφορετικό τρόπο αντιμετώπισης η κάθε μία. Ακόμα και ευπάθειες χαμηλού κινδύνου μπορούν πολλές φορές να μετατραπούν σε ευπάθειες υψηλού κινδύνου. Επίσης, συνήθως, τα Πληροφοριακά Συστήματα έχουν μεγάλη υποδομή δικτύων με πολλές συσκευές και όλες αυτές είναι ευάλωτες στις ευπάθειες, ενώ μία και μόνο ευπάθεια είναι ικανή να διακυβεύσει την ασφάλεια ολόκληρου του δικτύου [4]. Βάσει της αναφοράς του Ινστιτούτου Ασφάλειας Υπολογιστών (Computer Security Institute - CSI) [3], στην εποχή μας, ενώ όλες σχεδόν οι εταιρείες χρησιμοποιούν για την ασφάλεια τους αντιβιοτική προστασία και αναχώματα ασφαλείας, η διαδικασία της Διαχείρισης Ευπαθειών βρίσκεται στο 67,5% - αν και σε σχέση με το 2010 υπήρχε μία μικρή άνοδος όσον αφορά στην προτίμηση της. Με την Διαχείριση των Ευπαθειών ο επιτιθέμενος και η επιχείρηση συναγωνίζονται με ίσους όρους και οι όροι αυτοί είναι φυσικά οι γνωστοποιημένες ευπάθειες. 10

Κάθε Πληροφοριακό Σύστημα για να περιορίσει τον βαθμό επικινδυνότητας χρειάζεται να εφαρμόσει την διαδικασία της Διαχείρισης Ευπαθειών προληπτικά για να υπάρχει επίκαιρη επίγνωση της κατάστασης ασφάλειας και ειδικά αν αντιμετωπίζει κάποιο θέμα ασφάλειας. Επιπλέον, στις μέρες μας, η Διαχείριση Ευπαθειών δεν είναι πλέον απλά μια τεχνική ανάγκη, αλλά έχει γίνει θεσμική απαίτηση για πολλούς οργανισμούς που επιδιώκουν να συμβαδίζουν με τους σύγχρονους κανονισμούς συμμόρφωσης και να ασκούν τις δραστηριότητές τους διεθνώς. Αυτό γιατί οι περισσότερες επιχειρήσεις αγνοούν ίσως εντελώς την ύπαρξη θεμάτων ασφαλείας και την αναγκαιότητα για τακτική αναβάθμισή τους. 2.2. Είδη ευπαθειών και διεθνή Πρότυπα Οι ευπάθειες μπορούν να χωριστούν, βάσει του είδους τους, σε τρεις κατηγορίες: Ευπάθειες ρυθμίσεων. Είναι αδυναμίες που προκαλούνται λόγω λανθασμένων ρυθμίσεων στο λογισμικό του Πληροφοριακού Συστήματος. Ευπάθειες πηγαίου κώδικα. Οφείλονται σε προγραμματιστικά λάθη του πηγαίου κώδικα στο λογισμικό του Πληροφοριακού Συστήματος. Ευπάθειες περιβάλλοντος. Προκαλούνται από άμεση ή έμμεση τροποποίηση σε μεταβλητές του περιβάλλοντος. Τα παρακάτω standards είναι τα πιο κοινά standards όσον αφορά τη Διαχείριση Ευπαθειών: CVE 6 (Common Vulnerabilities and Exposure) : Είναι ένα κοινό πρότυπο παροχής ενιαίων ονομάτων των ευπαθειών που χρησιμοποιείται για την αναφορά στην εκάστοτε ευπάθεια. Σε κάθε ευπάθεια που έχει δημοσιευθεί αντιστοιχεί ένα μοναδικό CVE. Για παράδειγμα, η ευπάθεια με CVE-2007-3168 αντιστοιχεί σε μία ευπάθεια του ActiveX του Edraw Office Viewer όπου σε εκδόσεις προγενέστερες της έκδοσης 5.0, ένας επιτιθέμενος έχει τη δυνατότητα να διαγράψει αυθαίρετα αρχεία μέσω της μεθόδου DeleteLocalFile. CCE 7 (Common Configuration Enumeration) : Παρέχει μία μοναδική αναγνωριστική αρίθμηση για θέματα ρυθμίσεων συστημάτων, προκειμένου να διευκολυνθεί ο γρήγορος και ακριβής συσχετισμός ρυθμίσεων διαμέσου πολλαπλών πηγών και εργαλείων. CPE 8 (Common Platform Enumeration) : Είναι ένα δομημένο σχήμα ονοματοδοσίας για τα συστήματα τεχνολογίας των πληροφοριών και τα πακέτα τους. Αυτό καθιστά πολύ πιο εύκολη την σύνδεση των τρωτών σημείων των συστημάτων. Η δομή του CPE έχει ως εξής: 6 https://cve.mitre.org 7 http://cce.mitre.org 8 http://cpe.mitre.org 11

cpe :/ {μέρος}: {πωλητής}: {προϊόν}: {έτος έκδοσης}: {αναβάθμιση}: {έκδοση}: {γλώσσα} Ένα CPE είναι: cpe :/ o: Microsoft: Windows-nt: 2000: SP4: pro. CWE 9 (Common Weakness Enumeration): Είναι μία ενιαία μονάδα μετρήσεις των αδυναμιών λογισμικών. Επιτρέπει μία καλύτερη περιγραφή, συζήτηση, επιλογή και τη χρήση όσον αφορά των εργαλείων που μπορούν να βρουν αυτές τις αδυναμίες στον πηγαίο κώδικα και στο λειτουργικό σύστημα, καθώς και την καλύτερη κατανόηση και διαχείριση των αδυναμιών που σχετίζονται με το λογισμικό της αρχιτεκτονικής. CVSS 10 (Common Vulnerability Scoring System) : Είναι η κοινή μονάδα αξιολόγησης της επικινδυνότητας μιας ευπάθειας. Παρέχει μια τυποποιημένη αξιολόγηση για τρωτά σημεία που υπάρχουν στη Βάση Δεδομένων του NIST (NVD). H μονάδα σχετίζεται με την ευκολία έκθεσης της εκάστοτε ευπάθειας σε συνδυασμό με τον κίνδυνο της έκθεσης. Το CVSS μιας ευπάθειας έχει εύρος από 0 (χαμηλού κινδύνου) έως 10 (υψηλού κινδύνου). Πιο συγκεκριμένα, μία ευπάθεια με CVSS 0 έως 3,9 χαρακτηρίζεται ως Χαμηλού Κινδύνου, 4 έως 6,9 Μεσαίου Κινδύνου και 7 έως 10 Υψηλού Κινδύνου. Για παράδειγμα, η ευπάθεια CVE-2007-3168 έχει βαθμό CVSS 7.8 και αξιολογείται ως ευπάθεια υψηλού κινδύνου (High). XCCDF 11 (Configuration Checklist Description Format) : Είναι μία γλώσσα προδιαγραφών για την σύνταξη καταλόγων ελέγχου της ασφάλειας, σημείων αναφοράς και συναφή είδη εγγράφων. 2.3. Το εργαλείο της έρευνας Για τον εντοπισμό τον ευπαθειών και για την δημιουργία των αναφορών που αποστάλθηκαν στους συμμετέχοντες, χρησιμοποιήθηκε το εμπορικό εργαλείο HIAB της εταιρείας Outpost24. To συγκεκριμένο εργαλείο μπορεί να παρέχει μία αυτοματοποιημένη λύση για συστηματικό έλεγχο Πληροφοριακών Συστημάτων, καθώς και απόδοση της ευθύνης επίλυσής τους σε πλήθος χρηστών με διαφορετικά δικαιώματα και αρμοδιότητες. Ο κάθε χρήστης συνδέεται στην εφαρμογή διαμέσου του πρωτοκόλλου https, μέσω ενός περιηγητή, ο οποίος τον οδηγεί σε ένα γραφικό περιβάλλον με δικαιώματα που του αντιστοιχούν. Ο έλεγχος ενός Πληροφοριακού Συστήματος πραγματοποιείται είτε με συγκεκριμένη λίστα στόχων είτε με ανίχνευση ενός ολόκληρου δικτύου ώστε να εντοπιστούν οι διαθέσιμοι στόχοι όπου στη συνέχεια μπορεί να εκτελεστεί η διαδικασία του Vulnerability Assessment σε μέρος ή σε όλους τους στόχους που εντοπίστηκαν. 9 https://cwe.mitre.org 10 http://www.first.org/cvss/cvss-guide.html 11 http://scap.nist.gov/specifications/xccdf 12

Για τον έλεγχο του κάθε στόχου υπάρχει ένα πλήθος διαφορετικών πολιτικών ελέγχου για την κάλυψη διαφορετικών αναγκών ανίχνευσης. Συγκεκριμένα, υπάρχουν οι εξής πολιτικές ελέγχου : Normal : Είναι ο τυπικός έλεγχος που περιλαμβάνει ελέγχους όλων των ευπαθειών, οι οποίοι δεν είναι παρεμβατικοί. Normal with WebAppl : Εφαρμόζεται η πολιτική τυπικού έλεγχου που περιγράψαμε παραπάνω με περεταίρω έλεγχο για επιθέσεις τύπου XSS (Cross Site Scripting) και SQL Injection. Port Scan : Περιλαμβάνει έλεγχο για τις καθορισμένες πόρτες TCP και UDP. Unsafe : Εφαρμόζεται η πολιτική τυπικού ελέγχου με τη διαφορά ότι εκτελούνται και επικίνδυνα scripts που μπορεί να επηρεάσουν την κανονική λειτουργία του συστήματος. New checks : Εφαρμόζεται η πολιτική τυπικού ελέγχου μόνο για τα καινούρια τρωτά σημεία που εμφανίστηκαν μετά τον τελευταίο έλεγχο. New checks and most recent findings : Εφαρμόζεται η πολιτική τυπικού ελέγχου μόνο για τα καινούρια τρωτά σημεία που εμφανίστηκαν μετά τον τελευταίο έλεγχο και για τα τρωτά σημεία που είχαν εντοπιστεί στο παρελθόν. PCI : Ο έλεγχος PCI (Payment Card Industry) χρησιμοποιείται στις συναλλαγές με πιστωτικές, όπου ελέγχονται για ευπάθειες στα συστήματα τους και τα δύο μέρη της συναλλαγής. Οι 5 μεγαλύτερες εταιρείες πιστωτικών έχουν ιδρύσει το συμβούλιο του PCI. Στο προϊόν HIAB η πολιτική ελέγχου PCI χρειάζεται ειδική άδεια. Μετά το πέρας της διαδικασίας του Vulnerability Assessment, τα αποτελέσματα αποθηκεύονται τοπικά στην εφαρμογή και υπάρχει η δυνατότητα να εξαχθούν αναφορές βάσει των αποτελεσμάτων σε διάφορους τύπους αρχείων σε συνδυασμό με πλήθος τύπων αναφορών. Στη συνέχεια, οι διαχειριστές βάσει των αναφορών αυτών μπορούν να αξιολογήσουν τις αδυναμίες, τον βαθμό της έκθεσής τους στον κίνδυνο και να προβούν άμεσα σε λύσεις Διαχείρισης των Ευπαθειών και του κινδύνου. Αξίζει να σημειωθεί ότι ο ανιχνευτής HIAB μπορεί να αναγνωρίσει ευπάθειες σε όλα τα επίπεδα ενός δικτύου ηλεκτρονικών υπολογιστών συμπεριλαμβανομένων εφαρμογών, Βάσεων Δεδομένων, Λειτουργικών Συστημάτων, αλλά και αρχείων. Επίσης, μπορεί να ανιχνεύσει ύποπτα προγράμματα, αναβαθμίσεις λογισμικών που δεν έχουν γίνει και να πραγματοποιήσει ελέγχους αυθεντικοποίησης σε web υπηρεσίες της εταιρείας. 13

2.4. Η μεθοδολογία της έρευνας Το πρώτο στάδιο της έρευνας αποτέλεσε η εκμάθηση του εργαλείου και η προσπάθεια συγκέντρωσης των υποψήφιων συμμετεχόντων στην έρευνα. Αρχικά, πραγματοποιήθηκε αναζήτηση στο διαδίκτυο για την συλλογή στοιχείων επικοινωνίας από υποψήφιους που ήταν πιθανό να διαχειρίζονται οι ίδιοι τους ιστοχώρους τους (web server), όπως για παράδειγμα εταιρείες πληροφορικής, ηλεκτρονικά καταστήματα ή εταιρείες μεγάλου μεγέθους. Αντίστοιχα, στον δημόσιο τομέα, οι υποψήφιοι αποτελούνταν από Κέντρα Διαχείρισης εκπαιδευτικών ιδρυμάτων και δήμους. Έτσι δημιουργήθηκε μία λίστα με περίπου 500 πιθανούς υποψήφιους στους οποίους απεστάλη μια επίσημη επιστολή της οποίας δημιουργός και αποστολέας ήταν ο κ. Κοκολάκης. Με τη συγκεκριμένη επιστολή προσκλήθηκαν επίσημα για συμμετοχή στην έρευνα όλοι οι υποψήφιοι της παραπάνω λίστας. Στη συνέχεια, πραγματοποιήθηκε επικοινωνία σχεδόν με όλους τους υποψήφιους συμμετοχής ώστε να ενημερωθούν για την έρευνα και να αναγνωριστούν οι ενδιαφερόμενοι. Τέλος, κατόπιν συνεννόησης με τους ενδιαφερόμενους που προέκυψαν, εφαρμόσθηκε ανίχνευση και αξιολόγηση των ευπαθειών στα συστήματα που μας υπέδειξαν. Η διεργασία πραγματοποιήθηκε με το εργαλείο HIAB της Outpost24, και πιο συγκεκριμένα με την πολιτική ελέγχου που παρέχεται από το εργαλείο «normal with webappl» κατά την οποία, σύμφωνα με την εταιρεία, πραγματοποιείται τυπική διεξαγωγή της διεργασίας Αξιολόγησης Ευπαθειών (Vulnerability Assessment) με περεταίρω έλεγχο για επιθέσεις τύπου Cross Site Scripting (XSS) και SQL Injection. Τα Πληροφοριακά Συστήματα που ελέγχτηκαν ήταν ιστοχώροι (web servers) με φυσική παρουσία στον ελληνικό χώρο, οι οποίοι διαχειρίζονται από τους ίδιους τους συμμετέχοντες. Ο έλεγχος πραγματοποιήθηκε είτε εσωτερικά είτε εξωτερικά, με τον εξωτερικό περιμετρικό έλεγχο να πραγματοποιείται με τις προκαθορισμένες ρυθμίσεις που χρησιμοποιούνται. Μετά την ολοκλήρωση των ανιχνεύσεων, ενημερώθηκαν μόνο οι αντίστοιχοι αρμόδιοι για τις αδυναμίες που εντοπίστηκαν στα συστήματά τους με την αποστολή της λεπτομερούς αναφοράς των ευρημάτων. Όλα τα αποτελέσματα που συγκεντρώθηκαν, χρησιμοποιήθηκαν για την εξαγωγή των στατιστικών στοιχείων που περιγράφονται παρακάτω. 14

2.5. Συνοπτικά Αποτελέσματα Σχετικά με την εφαρμογή της διαδικασίας: Το 31% δεν την έχει εφαρμόσει ποτέ στο παρελθόν. Το 66% δεν την έχει εφαρμόσει πάνω από μία φορά στο παρελθόν. Η πιο τακτική εφαρμογή της διαδικασίας πραγματοποιείται με συχνότητα μία φορά το εξάμηνο. Σχετικά με τις ευπάθειες: Στο 69% των συστημάτων που ελέγχτηκαν εντοπίστηκε τουλάχιστον μία ευπάθεια υψηλού κινδύνου. Οι υψηλού κινδύνου ευπάθειες αποτελούν το 27% του συνολικού αριθμού των ευπαθειών που εντοπίστηκαν. Ο πιο κοινός βαθμός επικινδυνότητας CVSS έχει τιμή «5». Το μεγαλύτερο μέρος των ευπαθειών εντοπίστηκε στις πόρτες 80 και 443. Ο μεγαλύτερος αριθμός ευπαθειών εντοπίζεται σε συστήματα με PHP και apache, ενώ οι περισσότερες ευπάθειες υψηλού κινδύνου εντοπίστηκαν σε προϊόν της oracle. 2.6. Στοιχεία των ελεγχθέντων συστημάτων Στον παρακάτω πίνακα παρατίθενται αναλυτικά τα στοιχεία του κάθε συστήματος που ελέγχτηκε. Η πρώτη στήλη περιέχει τα ID των συμμετεχόντων. Στην επομένη στήλη προσδιορίζεται αν το σύστημα ήταν ιδιωτικής επιχείρησης ή δημοσίου φορέα. Συγκεκριμένα, για λόγους ευκολίας παρουσίασης των αποτελεσμάτων, οι πρώτοι 19 συμμετέχοντες αφορούν ιδιωτικές επιχειρήσεις και οι επόμενοι 16 δημόσιους φορείς. Στη συνέχεια αναφέρεται το μέγεθος των επιχειρήσεων με βάση τον αριθμό των εργαζομένων τους, που αντιστοιχεί σε πολύ μικρή (για αριθμό εργαζομένων κάτω του 10), μικρή για επιχειρήσεις με εργαζόμενους μεταξύ 10 και 50, μεσαίου μεγέθους για επιχειρήσεις με εργαζόμενους μεταξύ 50 και 250 και μεγάλη για τις επιχειρήσεις με πάνω από 250 εργαζόμενους. Ακολουθεί αναφορά το είδος βασικό αντικείμενο ενασχόλησης της εταιρείας / δημόσιου φορέα. Η τελευταία στήλη περιλαμβάνει το σύστημα που ελέγχθηκε τα οποία ήταν κυρίως ιστοχώροι (web server) με μία μικρή απόκλιση από μη 15

προσδιορισμένο είδος (Unspecified). Η ταξινόμηση του πίνακα και στις δύο ενότητες (φορέας - επιχείρηση) έγινε τυχαία. ID Επιχείρηση / Φορέας Μέγεθος Επιχείρησης Αντικείμενο Πληροφοριακό Σύστημα ID001 Επιχείρηση Μικρή Πληροφορικής Web Server ID002 Επιχείρηση Μικρή Πληροφορικής Web Server ID003 Επιχείρηση Μεσαία Άλλο Web Server ID004 Επιχείρηση Μικρή Πληροφορικής Web Server ID005 Επιχείρηση Πολύ Μικρή Πληροφορικής Web Server ID006 Επιχείρηση Μεσαία Άλλο Web Server ID007 Επιχείρηση Μικρή Πληροφορικής Unspecified ID008 Επιχείρηση Μικρή Πληροφορικής Web Server ID009 Επιχείρηση Μικρή Πληροφορικής Web Server ID010 Επιχείρηση Μικρή Άλλο Web Server ID011 Επιχείρηση Μικρή Πληροφορικής Unspecified ID012 Επιχείρηση Μεσαία Άλλο Web Server ID013 Επιχείρηση Μεσαία Άλλο Web Server ID014 Επιχείρηση Μικρή Άλλο Web Server ID015 Επιχείρηση Μεγάλη Άλλο Web Server ID016 Επιχείρηση Πολύ Μικρή Άλλο Web Server ID017 Επιχείρηση Μικρή Άλλο Web Server ID018 Επιχείρηση Μικρή Άλλο Web Server ID019 Επιχείρηση Πολύ Μικρή Άλλο Web Server ID020 Φορέας - ΚΔΔ Web Server ID021 Φορέας - ΚΔΔ Web Server ID022 Φορέας - Δήμος Web Server ID023 Φορέας - ΚΔΔ Web Server ID024 Φορέας - ΚΔΔ Web Server ID025 Φορέας - ΚΔΔ Web Server ID026 Φορέας - ΚΔΔ Web Server ID027 Φορέας - ΚΔΔ Web Server ID028 Φορέας - Δήμος Web Server ID029 Φορέας - Δήμος Web Server ID030 Φορέας - ΚΔΔ Web Server ID031 Φορέας - ΚΔΔ Web Server ID032 Φορέας - Άλλο Web Server ID033 Φορέας - Άλλο Web Server ID034 Φορέας - Δήμος Web Server ID035 Φορέας - Άλλο Web Server Από τα παραπάνω προκύπτει ότι οι έλεγχοι σε επιχειρήσεις αποτέλεσαν το 54% των ελέγχων που πραγματοποιήθηκαν και αντίστοιχα το 46% ήταν έλεγχοι σε δημόσιους φορείς. Το 42% των ελέγχων στον ιδιωτικό τομέα πραγματοποιήθηκε σε επιχειρήσεις με βασικό αντικείμενο την πληροφορική, ενώ το υπόλοιπο 58% σε εταιρείες με διαφορετικό βασικό 16

αντικείμενο, το οποίο δεν προσδιορίζεται για λόγους ανωνυμίας. Αντίστοιχα, στον δημόσιο τομέα το 56% των ελέγχων έγινε σε ιστοχώρους Κέντρων Διαχείρισης Δικτύων εκπαιδευτικών ιδρυμάτων, το 25% σε ιστοχώρους που τους διαχειρίζονταν δήμοι, ενώ το το υπόλοιπο 19% σε φορείς άλλου αντικειμένου το οποίο επίσης δεν προσδιορίζεται για λόγους ανωνυμίας. Τα Πληροφοριακά Συστήματα που ελέγχτηκαν ήταν Ιστοχώροι (Web Servers) σε ποσοστό πάνω από 94%, ενώ το 6% ήταν μη προσδιορισμένα συστήματα. 3. Συγκεντρωτικά Στατιστικά Αποτελέσματα 3.1. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που προέκυψαν από το σύνολο των συστημάτων που ελέγχτηκαν βάσει του επιπέδου επικινδυνότητας των ευπαθειών. Συνολικά υπήρξαν 3231 ευρήματα, από τα οποία τα 1051 δεν αποτελούσαν ευπάθειες, αλλά ένας επιτιθέμενος μπορούσε να αντλήσει πληροφορίες για τα συστήματα. Τα υπόλοιπα 2180 ευρήματα αναγνωρίζονται ως ευπάθειες από το NVD του NIST που αναφέραμε παραπάνω. Συγκεκριμένα, εντοπίστηκαν συνολικά 581 ευπάθειες Υψηλού Κινδύνου (High Risk), δηλαδή ο βαθμός επικινδυνότητάς τους CVSS κυμαίνεται από 7 και πάνω, οι οποίες αποτελούν το 27% του συνόλου των ευπαθειών. Εντοπίστηκαν 1387 Μεσαίου Κινδύνου (Medium Risk), δηλαδή με CVSS μεταξύ 4 και 6,9 και 212 Χαμηλού Κινδύνου (Low Risk) δηλαδή με CVSS μικρότερο του 4. Risk Level Overview High Risk 581 Medium Risk 1387 Low Risk 212 Info 1051 Total 3231 63% 10% Risk Level Overview 27% High Risk Medium Risk Low Risk 17

3.2. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που εντοπίστηκαν στο σύνολο των συστημάτων που ελέγχτηκαν βάσει της οικογένειας που ανήκουν οι ευπάθειες, δηλαδή του προϊόντος, της υπηρεσίας ή του είδους της ευπάθειας. Συνολικά υπήρξαν 3231 ευρήματα, από τα οποία τα 581 ήταν Υψηλού Κινδύνου (High Risk). Στον παρακάτω πίνακα η πρώτη στήλη περιλαμβάνει τις οικογένειες των ευπαθειών, η δεύτερη το πλήθος των ευπαθειών που εντοπίστηκαν στην αντίστοιχη οικογένεια και η τρίτη το πλήθος εκ των οποίων ήταν υψηλού κινδύνου. Τα αποτελέσματα δείχνουν ότι οι περισσότερες ευπάθειες εντοπίζονται σε συστήματα με PHP, με συνολικά ευρήματα 699, και ακολουθούν συστήματα με Apache και προϊόντα της Oracle. Οι περισσότερες ευπάθειες υψηλού κινδύνου εντοπίζονται σε συστήματα με προϊόντα της Oracle και ακολουθούν συστήματα με PHP, Apache και προϊόντα της Microsoft. Risc Category Overview total high was 321 1 http 363 13 ssl 278 0 oppenssh 63 16 snmp 9 2 ssh 33 0 wasx 90 7 ftp 35 0 unencrypted-remoteauthentication 41 0 misc 60 1 icmp 23 0 smtp 23 0 remote-management 5 0 database 15 0 ip 20 0 rpc 4 0 tcp 19 0 microsoft 108 41 os_detection 21 0 php 699 178 xss 40 0 dns 14 0 pop3 4 0 mysql 3 0 apache 288 62 imap 7 0 joomla 15 6 isc 2 0 oracle 334 201 openssl 48 9 smb 79 4 vnc 3 1 samba 2 1 other 29% oracle 10% Vulnerability families apache 9% was 10% php 22% http 11% ssl 9% High Risk Vulnerability families oracle 34% other 17% microso ft 7% apache 11% php 31% 18

http-proxy 2 0 http-webdev 1 0 phpmyadmin 82 16 telnet 2 0 mod_ssl 6 5 isc 18 8 webmin 23 9 squirrelmail 28 0 Total 3231 581 3.3. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που εντοπίστηκαν στο σύνολο των συστημάτων που ελέγχτηκαν βάσει της πόρτας εμφάνισης των ευπαθειών ταξινομημένα βάσει της επικινδυνότητας τους. Συνολικά υπήρξαν 3231 ευρήματα, από τα οποία τα 1051 αποτελούν ευρήματα άντλησης πληροφορίας σχετικά με το σύστημα που ελέγχεται, τα 581 είναι ευπάθειες Υψηλού Κινδύνου (High Risk), τα 1387 είναι ευπάθειες Μεσαίου Κινδύνου (Medium Risk) και τα 212 είναι ευπάθειες Χαμηλού Κινδύνου (Low Risk). Συνολικά εντοπίστηκαν 168 διαφορετικές ανοιχτές πόρτες, σε πολλές από τις οποίες δεν εντοπίστηκε κανένα είδος ευπάθειας. Στις πόρτες 80 (HTTP) και 443 (HTTPS) εντοπίστηκε ο μεγαλύτερος αριθμός ευπαθειών. Όσον αφορά τις ευπάθειες Υψηλού Κινδύνου, εντοπίστηκαν επίσης στις προηγούμενες πόρτες και έπειτα ακολούθησε με μικρή διαφορά η πόρτα 7777 (Oracle Server) και στη συνέχεια η πόρτα 1433 (Microsoft SQL Server). Βάσει των προηγούμενων στοιχείων δημιουργήθηκαν τα επόμενα δύο γραφήματα. Το πρώτο περιλαμβάνει τις πόρτες με τα περισσότερα ευρήματα και το δεύτερο τις πόρτες με τις περισσότερες ευπάθειες Υψηλού Κινδύνου. 1000 800 600 400 200 80 443 1433 7777 2381 0 Top Port Overview 180 160 140 120 100 80 60 40 20 0 80 443 1433 7777 19

Ο παρακάτω πίνακας παρουσιάζει αναλυτικά τα αποτελέσματα της έρευνας όσον αφορά το πλήθος τον ευπαθειών που εντοπίστηκε σε κάθε πόρτα, ταξινομώντας όλα τα ευρήματα ανά επίπεδο επικινδυνότητας. Στο πίνακα δεν αναφέρονται οι ανοιχτές πόρτες στις οποίες δεν υπήρχαν ευρήματα. Top Port Overview Port High Medium Low Info Port High Medium Low Info 21 1 21 1 29 2381 0 22 4 34 22 16 35 21 27 3306 0 0 7 8 23 0 4 0 2 3339 11 25 1 3 25 0 8 0 10 3389 1 8 1 8 26 0 2 0 1 3573 0 0 1 4 53 8 14 0 13 4447 0 0 0 2 67 0 0 0 2 4469 0 2 0 0 80 175 480 51 214 4584 6 2 0 0 82 1 3 0 7 4697 0 0 0 2 110 0 4 0 7 5556 0 2 0 7 111 0 0 4 0 5901 2 1 0 4 135 0 0 0 6 5969 0 2 1 4 137 0 0 0 7 6001 0 2 0 1 143 0 4 0 4 6200 0 0 0 2 161 2 8 0 1 6701 0 0 0 2 177 0 2 0 0 7001 0 0 0 9 245 0 2 0 2 7002 0 0 0 4 389 0 4 4 1 7004 1 0 0 3 443 139 457 36 141 7005 2 0 0 6 445 6 25 6 56 7006 1 0 0 3 465 0 4 1 11 7009 1 0 0 3 512 0 0 0 1 7777 99 44 19 13 514 1 0 0 0 7778 61 44 10 6 587 0 4 0 8 8003 0 8 0 0 593 0 0 0 4 8080 1 4 0 18 691 0 0 0 2 8081 1 1 0 6 954 0 0 0 1 8083 0 0 0 2 993 0 15 3 15 8091 0 1 0 6 995 0 10 2 15 8092 0 1 0 4 1025 0 3 0 0 8093 0 0 0 4 1156 1 2 0 5 8443 0 8 2 17 1157 0 0 0 3 8888 1 4 0 10 1311 0 8 1 7 8889 1 2 0 7 1433 23 14 4 3 8890 0 3 1 10 1434 0 2 0 0 9001 1 0 0 4 1521 2 20 3 2 9090 0 0 0 4 1734 6 2 0 0 9990 0 0 0 3 2002 0 4 0 6 9999 0 0 0 2 2086 0 3 0 8 10000 9 24 6 23 2095 0 1 0 8 20000 0 8 1 8 2222 0 1 0 5 General 1 0 21 139 2301 0 3 0 22 Total 581 1387 212 1051 20

Percent 3.4. Συγκεντρωτικά στατιστικά αποτελέσματα βάσει του Βαθμού Επικινδυνότητας CVSS Παρακάτω παρατίθενται τα συγκεντρωτικά αποτελέσματα που εντοπίστηκαν στο σύνολο των συστημάτων που ελέγχτηκαν βάσει του βαθμού επικινδυνότητας CVSS των ευπαθειών. Συνολικά υπήρξαν 3231 ευρήματα. Από αυτά τα 581 ήταν ευπάθειες Υψηλού Κινδύνου (High Risk), δηλαδή ο βαθμός επικινδυνότητας τους CVSS κυμαίνεται από 7 έως 10. Τα 1387 ήταν Μεσαίου Κινδύνου (Medium Risk), δηλαδή με CVSS μεταξύ 4 και 6,9 και τα 212 ήταν Χαμηλού Κινδύνου (Low Risk) δηλαδή με CVSS μικρότερο του 4. Τα 1051 δεν αποτελούν ευπάθειες, αλλά ένας επιτιθέμενος μπορεί να αντλήσει πληροφορίες για τα εν λόγω συστήματα. Στον παρακάτω πίνακα η πρώτη στήλη περιλαμβάνει τον βαθμό επικινδυνότητας CVSS, η δεύτερη στήλη περιλαμβάνει το πλήθος των ευπαθειών που αντιστοιχούν στο CVSS και η τρίτη στήλη περιλαμβάνει το ποσοστό εμφάνισης στο σύνολο. Το μεγαλύτερο ποσοστό εντοπίζεται σε ευπάθειες με βαθμό CVSS 5, ενώ οι ευπάθειες με βαθμό 10 αποτελούν το 10%. CVSS Overview CVSS Score Overview High Risk 40% 10 183 8% 35% 9,3 36 2% 9 13 1% 30% 8,8 1 0% 25% 8,6 2 0% 20% 8,5 16 1% 15% 7,9 1 0% 10% 7,8 47 2% 5% 7,6 1 0% 7,5 249 11% 0% 7,3 2 0% 10 8,8 7,9 7,5 6,9 6,4 5,8 5 4,6 4 2,8 2,1 1,2 7,1 30 1% CVSS Score Medium Risk 6,9 14 1% 6,8 103 5% 6,5 11 1% 6,4 118 5% 6,2 1 0% Low Risk 6,1 2 0% 3,7 1 0% 6 5 0% 3,6 3 0% 5,8 28 1% 3,5 24 1% 5,5 8 0% 2,8 2 0% 5,1 3 0% 2,6 60 3% 5 731 34% 2,4 1 0% 4,9 16 1% 2,1 9 0% 4,7 5 0% 1,8 3 0% 4,6 19 1% 1,7 22 1% 4,4 10 0% 1,2 11 1% 4,3 302 14% 1 3 0% 4 11 1% 0 73 3% Total 2180 100% 21

4. Αναλυτικά Στατιστικά Αποτελέσματα 4.1. Αναλυτικά στατιστικά αποτελέσματα βάσει του Επιπέδου Επικινδυνότητας Στον παρακάτω πίνακα εμφανίζονται τα αποτελέσματα των συμμετεχόντων ανώνυμα, αναφέροντας για κάθε σύστημα που ελέγχθηκε τον ακριβή αριθμό των ευρεθέντων ευπαθειών Υψηλού, Μεσαίου και Χαμηλού Κινδύνου (High Medium Low Risk) καθώς και τον αριθμό των ευρημάτων συλλογής πληροφοριών (Info). Επιπλέον, αναφέρεται το είδος του ελέγχου που πραγματοποιήθηκε, δηλαδή εξωτερικός ή εσωτερικός έλεγχος (External - Internal), καθώς και η συχνότητα (Frequency) εφαρμογής της διαδικασίας του Vulnerability Assessment στο παρελθόν. High Medium Low Info Total Είδος Ελέγχου Συχνότητα ID001 1 7 3 21 32 Εσωτερικός ΠΟΤΕ ID002 8 26 9 83 126 Εσωτερικός 1 / εξάμηνο ID003 8 30 6 55 99 Εσωτερικός 1 φορά στο Παρελθόν ID004 70 93 24 87 274 Εσωτερικός 1 / εξάμηνο ID005 0 23 9 60 92 Εξωτερικός 1 / έτος ID006 2 5 2 20 29 Εξωτερικός ΠΟΤΕ ID007 2 5 4 35 46 Εσωτερικός 1 / εξάμηνο ID008 30 32 7 43 112 Εσωτερικός 1 φορά στο Παρελθόν ID009 0 1 1 2 4 Εξωτερικός 1 φορά στο Παρελθόν ID010 1 20 7 61 89 Εσωτερικός 1 φορά στο Παρελθόν ID011 1 15 5 28 49 Εσωτερικός ΠΟΤΕ ID012 29 113 3 43 188 Εξωτερικός ΠΟΤΕ ID013 46 107 9 52 214 Εσωτερικός 1 φορά στο Παρελθόν ID014 8 9 1 26 44 Εξωτερικός 1 / έτος ID015 1 2 0 10 13 Εξωτερικός 1 φορά στο Παρελθόν ID016 6 13 6 28 53 Εξωτερικός ΠΟΤΕ ID017 0 7 1 18 26 Εξωτερικός 1 φορά στο Παρελθόν ID018 2 9 0 29 40 Εξωτερικός ΠΟΤΕ ID019 10 56 13 54 133 Εξωτερικός ΠΟΤΕ ID020 76 213 15 18 322 Εξωτερικός ΠΟΤΕ ID021 0 2 0 9 11 Εξωτερικός 1 / έτος ID022 150 65 29 29 273 Εξωτερικός ΠΟΤΕ ID023 0 3 1 11 15 Εξωτερικός 1 / έτος ID024 4 5 0 23 32 Εξωτερικός 1 φορά στο Παρελθόν ID025 0 4 1 16 21 Εξωτερικός 1 / έτος ID026 0 6 4 15 25 Εξωτερικός 1 / εξάμηνο ID027 2 7 1 12 22 Εξωτερικός 1 / έτος ID028 0 6 1 21 28 Εξωτερικός 1 φορά στο Παρελθόν ID029 0 5 0 10 15 Εξωτερικός 1 φορά στο Παρελθόν ID030 0 24 2 22 48 Εξωτερικός 1 / έτος ID031 68 198 11 19 296 Εξωτερικός ΠΟΤΕ ID032 0 7 0 12 19 Εξωτερικός 1 / έτος ID033 30 126 2 26 184 Εξωτερικός 1 φορά στο Παρελθόν ID034 21 107 29 45 202 Εξωτερικός ΠΟΤΕ ID035 5 36 6 8 55 Εξωτερικός 1 φορά στο Παρελθόν Total 581 1387 212 1051 3231 22

4.2. Αναλυτικά στατιστικά αποτελέσματα βάσει της Οικογένειας Ευπαθειών Παρακάτω παρατίθενται, ανώνυμα για κάθε συμμετέχοντα, τα αναλυτικά αποτελέσματα που προέκυψαν βάσει της κατηγορίας των ευρημάτων. Σε κάθε πίνακα (που αντιστοιχεί σε κάθε έλεγχο που πραγματοποιήθηκε) αναφέρεται το πλήθος των ευρημάτων και προσδιορίζεται ο ακριβής αριθμός των ευπαθειών Υψηλού Κινδύνου. Ακολουθεί το αντίστοιχο αναλυτικό γράφημα καθώς και γράφημα μορφής πίτας με τα ευρήματα ευπαθειών Υψηλού Κινδύνου στις περιπτώσεις που εντοπίστηκαν. Τα δύο γραφήματα σχετίζονται, εκτός από την περιγραφή, και με το χρώμα τους για ευκολία συσχετισμού του συνόλου ευπαθειών κάθε κατηγορίας με τις ευπάθειες Υψηλού Κινδύνου της ίδιας κατηγορίας. Οι κατηγορίες «was» και «wasx» (Web Application Extended Scanning) φανερώνουν ευρήματα από έλεγχο web εφαρμογών και αφορούν κυρίως επιθέσεις Cross Site Scripting και Sql Injection. ID001 - Risk Category Overview Total High ssl 6 0 smb 5 0 misc 4 0 was 4 0 http 3 0 microsoft 3 1 dns 2 0 icmp 1 0 unecrypted-remoteauthentication 1 0 os_detection 1 0 database 1 0 ip 1 0 Total 32 1 High Risk Category Overview microsoft 23

ID002 - Risk Category Overview Total High was 32 0 http 28 2 ssl 25 0 oppenssh 14 4 snmp 6 2 ssh 4 0 wasx 3 0 ftp 3 0 unencrypted-remoteauthentication 2 0 misc 2 0 icmp 1 0 smtp 1 0 remote-management 1 0 database 1 0 ip 1 0 rpc 1 0 tcp 1 0 Total 126 8 High Risk Category Overview snmp http oppenssh 24

ID003 - Risk Category Overview Total High microsoft 19 6 http 19 0 ssl 18 0 was 13 0 smb 7 1 wasx 6 1 ftp 6 0 unecrypted-remoteauthentication 3 0 misc 2 0 icmp 1 0 os_detection 1 0 xss 1 0 database 1 0 ip 1 0 http-webdev 1 0 Total 99 8 High Risk Category Overview wasx smb microsoft 25

ID004 - Risk Category Overview Total High oracle 102 54 was 38 0 openssl 33 4 http 31 7 openssh 14 4 smb 12 0 ssl 8 0 wasx 8 0 xss 4 0 ssh 4 0 misc 4 0 vnc 3 1 unencrypted-remoteauthentication 2 0 remote-management 2 0 database 2 0 icmp 1 0 smtp 1 0 os_detection 1 0 ip 1 0 microsoft 1 0 rpc 1 0 tcp 1 0 Total 274 70 High Risk Category Overview openssh vnc http openssl oracle 26

ID005 - Risk Category Overview Total High ssl 21 0 http 16 0 was 14 0 smtp 5 0 unencrypted-remoteauthentication 5 0 Apache 4 0 ssh 4 0 openssh 3 0 misc 3 0 dns 2 0 xss 2 0 wasx 2 0 imap 2 0 isc 2 0 ftp 2 0 tcp 2 0 icmp 1 0 pop3 1 0 database 1 0 Total 92 0 27

ID006 - Risk Category Overview Total High http 8 0 ssl 7 0 was 4 0 ftp 3 0 microsoft 3 2 unencrypted-remoteauthentication 1 0 os_detection 1 0 wasx 1 0 misc 1 0 Total 29 2 High Risk Category Overview microsoft 28

ID007 - Risk Category Overview Total High smb 11 0 was 11 0 http 9 1 ssh 4 0 openssh 3 0 samba 2 1 icmp 1 0 rpc 1 0 http-proxy 1 0 wasx 1 0 ip 1 0 misc 1 0 Total 46 2 samba High Risk Category Overview http 29

ID008 - Risk Category Overview Total High microsoft 55 29 smb 14 1 http 11 0 ssl 9 0 was 9 0 misc 4 0 dns 2 0 wasx 2 0 database 2 0 icmp 1 0 unecrypted-remoteauthentication 1 0 os_detection 1 0 tcp 1 0 Total 112 30 High Risk Category Overview smb microsoft 30

ID009 - Risk Category Overview Total High icmp 1 0 ssl 1 0 misc 1 0 ip 1 0 Total 4 0 31

ID010 - Risk Category Overview Total High http 19 0 ssl 15 0 was 15 0 smb 14 1 microsoft 8 0 smtp 3 0 wasx 3 0 misc 3 0 unecrypted-remoteauthentication 2 0 dns 2 0 icmp 1 0 os_detection 1 0 database 1 0 ip 1 0 tcp 1 0 Total 89 1 High Risk Category Overview smb 32

ID011 - Risk Category Overview Total High ssl 10 0 microsoft 10 1 was 7 0 smb 6 0 http 4 0 misc 3 0 wasx 2 0 icmp 1 0 unecrypted-remoteauthentication 1 0 os_detection 1 0 xss 1 0 database 1 0 ip 1 0 tcp 1 0 Total 49 1 High Risk Category Overview microsoft 33

ID012- Risk Category Overview Total High php 116 28 ssl 19 0 http 14 0 smtp 7 0 unencrypted-remoteauthentication 6 0 was 5 0 xss 4 0 snmp 3 0 wasx 3 1 misc 3 0 dns 2 0 ftp 2 0 pop3 1 0 database 1 0 ip 1 0 mysql 1 0 Total 188 29 High Risk Category Overview wasx php 34

ID013 - Risk Category Overview Total High apache 105 33 http 23 0 ssl 17 0 openssl 15 5 was 11 1 microsoft 7 0 smb 7 1 mod_ssl 6 5 wasx 5 0 misc 5 1 xss 3 0 unecrypted-remoteauthentication 2 0 icmp 1 0 os_detection 1 0 remote-management 1 0 oracle 1 0 telnet 1 0 database 1 0 ip 1 0 tcp 1 0 Total 214 46 High Risk Category Overview misc smb mod_ssl was openssl apache 35

ID014 - Risk Category Overview Total High isc 18 8 http 9 0 was 8 0 ssl 3 0 dns 2 0 icmp 1 0 xss 1 0 ip 1 0 misc 1 0 Total 44 8 High Risk Category Overview isc 36

ID015 - Risk Category Overview Total High was 9 0 wasx 3 1 misc 1 0 Total 13 1 High Risk Category Overview wasx 37

ID016 - Risk Category Overview Total High php 12 6 was 10 0 http 10 0 ssl 5 9 ssh 4 0 ftp 4 4 xss 2 0 icmp 1 0 openssh 1 0 unecrypted-remoteauthentication 1 0 database 1 0 misc 1 0 ip 1 0 Total 53 19 High Risk Category Overview php 38

ID017 - Risk Category Overview Total High ssl 7 0 was 7 0 http 6 0 wasx 3 0 icmp 1 0 ip 1 0 misc 1 0 Total 26 0 39

ID018 - Risk Category Overview Total High http 14 0 was 12 0 ssl 5 0 wasx 5 0 microsoft 2 2 os_detection 1 0 misc 1 0 Total 40 2 High Risk Category Overview microsoft 40

ID019 - Risk Category Overview Total High ssl 46 0 http 24 0 joomla 15 6 openssh 14 4 unecrypted-remoteauthentication 5 0 xss 4 0 ssh 4 0 smtp 3 0 misc 3 0 ftp 3 0 dns 2 0 imap 2 0 mysql 2 0 icmp 1 0 os_detection 1 0 pop3 1 0 database 1 0 tcp 1 0 webmin 1 0 Total 133 10 High Risk Category Overview openssh joomla 41

ID020 - Risk Category Overview Total High php 210 56 apache 58 12 phpmyadmin 28 8 http 8 0 was 6 0 ftp 5 0 xss 2 0 icmp 1 0 unencrypted-remoteauthentication 1 0 os_detection 1 0 ip 1 0 misc 1 0 Total 322 76 High Risk Category Overview apache php 42

ID021 - Risk Category Overview Total High was 4 0 http 2 0 xss 1 0 tcp 1 0 wasx 1 0 ip 1 0 misc 1 0 Total 11 0 43

ID022 - Risk Category Overview High Risk Category Overview Total High oracle 231 147 http http 19 3 was 10 0 xss 3 0 ssl 3 0 wasx 3 0 icmp 1 0 tcp 1 0 ip 1 0 misc 1 0 Total 273 150 oracle 44

ID023 - Risk Category Overview Total High was 6 0 http 3 0 wasx 2 0 icmp 1 0 os_detection 1 0 tcp 1 0 misc 1 0 Total 15 0 45

ID024 - Risk Category Overview Total High http 10 0 was 9 0 wasx 5 2 ssl 4 0 php 2 2 os_detection 1 0 misc 1 0 Total 32 4 php High Risk Category Overview wasx 46

ID025 - Risk Category Overview Total High was 10 0 http 4 0 wasx 3 0 icmp 1 0 os_detection 1 0 tcp 1 0 misc 1 0 Total 21 0 47

ID026 - Risk Category Overview Total High http 8 0 ssl 8 0 xss 2 0 icmp 1 0 rpc 1 0 os_detection 1 0 tcp 1 0 database 1 0 ip 1 0 misc 1 0 Total 25 0 48

ID027 - Risk Category Overview Total High was 7 0 wasx 6 2 http 5 0 icmp 1 0 os_detection 1 0 tcp 1 0 misc 1 0 Total 22 2 High Risk Category Overview wasx 49

ID028 - Risk Category Overview Total High was 10 0 http 3 0 ssl 3 0 ssb 3 0 wasx 2 0 icmp 1 0 unucrypted-remoteauthentication 1 0 os_detection 1 0 remote-management 1 0 tcp 1 0 telnet 1 0 misc 1 0 Total 28 0 50

ID029 - Risk Category Overview Total High was 6 0 http 3 0 wasx 3 0 os_detection 1 0 xss 1 0 misc 1 0 Total 15 0 51

ID030 - Risk Category Overview Total High apache 17 0 was 9 0 wasx 7 0 http 6 0 ssh 4 0 icmp 1 0 os_detection 1 0 http-proxy 1 0 tcp 1 0 misc 1 0 Total 48 0 52

ID031 - Risk Category Overview Total High php 210 56 apache 58 12 http 10 0 was 6 0 unencrypted-remoteauthentication 3 0 ftp 3 0 xss 2 0 icmp 1 0 os_detection 1 0 ip 1 0 misc 1 0 Total 296 68 High Risk Category Overview apache php 53

ID032 - Risk Category Overview Total High was 7 0 wasx 5 0 http 4 0 xss 1 0 tcp 1 0 misc 1 0 Total 19 0 54

ID033 - Risk Category Overview Total High php 148 30 was 15 0 ssl 8 0 http 7 0 xss 2 0 wasx 2 0 ip 1 0 misc 1 0 Total 184 30 High Risk Category Overview php 55

ID034 - Risk Category Overview Total High phpmyadmin 54 8 ssl 30 0 squirrelmail 28 0 webmin 22 9 http 20 0 openssh 14 4 ssh 5 0 was 5 0 unecrypted-remoteauthentication 4 0 wasx 4 0 ftp 4 0 xss 3 0 smtp 2 0 imap 2 0 os_detection 1 0 pop3 1 0 misc 1 0 php 1 0 tcp 1 0 Total 202 21 High Risk Category Overview openssh webmin phpmyad min 56

ID035 - Risk Category Overview Total High apache 46 5 http 3 0 was 3 0 xss 1 0 ip 1 0 misc 1 0 Total 55 5 High Risk Category Overview apache 57

4.3. Αναλυτικά στατιστικά αποτελέσματα βάσει της Πόρτας Εμφάνισης Παρακάτω παρατίθενται τα αποτελέσματα των συμμετεχόντων ανώνυμα, αναφέροντας για κάθε σύστημα που ελέγχθηκε τον ακριβή αριθμό των ευρεθέντων ευπαθειών Υψηλού, Μεσαίου και Χαμηλού Κινδύνου (High Medium Low Risk) καθώς και τον αριθμό των ευρημάτων συλλογής πληροφοριών (Info) που εντοπίστηκαν σε κάθε πόρτα. ID001 - Top Port Overview High Medium Low Info 53 0 2 0 0 67 0 0 0 1 80 0 0 0 7 135 0 0 0 1 137 0 0 0 1 389 0 1 1 0 445 1 2 0 3 593 0 0 0 1 3389 0 2 1 4 General 0 0 1 3 Total 1 7 3 21 ID002 - Top Port Overview High Medium Low Info 21 0 2 0 2 22 4 7 4 3 80 0 0 0 5 111 0 0 1 0 161 2 5 0 1 177 0 1 0 0 443 0 3 1 10 3306 0 0 1 2 5556 0 2 0 6 6701 0 0 0 2 7001 0 0 0 4 7002 0 0 0 4 7005 1 0 0 3 8080 0 1 0 3 8091 0 1 0 6 8092 0 1 0 4 8093 0 0 0 4 8888 0 0 0 5 8889 0 0 0 2 8890 0 3 1 10 9001 1 0 0 4 General 0 0 1 3 Total 8 26 9 83 58

ID003 - Top Port Overview High Medium Low Info 21 0 2 0 2 80 0 0 1 7 82 1 3 0 7 135 0 0 0 1 137 0 0 0 1 245 0 2 0 2 445 1 4 1 4 1025 0 1 0 0 1433 0 2 1 1 1434 0 1 0 0 1734 6 2 0 0 2301 0 1 0 6 2381 0 6 1 9 3389 0 1 0 1 8443 0 5 1 9 10000 0 0 0 2 General 0 0 1 3 Total 8 30 6 55 ID004 - Top Port Overview High Medium Low Info 22 4 7 4 3 80 0 2 0 6 111 0 0 1 0 137 0 0 0 1 177 0 1 0 0 389 0 1 1 0 443 5 29 4 11 445 0 1 1 9 1156 1 2 0 5 1157 0 0 0 3 1521 2 20 2 1 2222 0 0 0 1 5556 0 0 0 1 5901 2 1 0 4 6001 0 2 0 1 6200 0 0 0 2 7001 0 0 0 5 7004 1 0 0 3 7005 1 0 0 3 7006 1 0 0 3 7009 1 0 0 3 7777 49 21 10 5 8888 1 4 0 5 8889 1 2 0 5 General 1 0 1 7 Total 70 93 24 87 59

ID005 - Top Port Overview High Medium Low Info 21 0 1 0 2 22 0 2 2 3 25 0 2 0 3 53 0 0 0 5 80 0 3 1 7 110 0 1 0 2 143 0 1 0 1 443 0 3 1 5 465 0 2 1 7 587 0 2 0 3 993 0 2 1 5 995 0 2 1 5 2086 0 2 0 4 2095 0 0 0 4 3306 0 0 1 2 General 0 0 1 2 Total 0 23 9 60 ID006 - Top Port Overview High Medium Low Info 21 1 2 1 2 80 0 0 0 4 5969 0 2 1 4 8081 1 1 0 6 8083 0 0 0 2 General 0 0 0 2 Total 2 5 2 20 60

ID007 - Top Port Overview High Medium Low Info 22 0 2 2 3 111 0 0 1 0 445 1 2 0 10 2222 0 1 0 4 4447 0 0 0 2 4697 0 0 0 2 8080 1 0 0 7 9990 0 0 0 3 9999 0 0 0 2 General 0 0 1 2 Total 2 5 4 35 ID008 - Top Port Overview High Medium Low Info 53 0 2 0 0 67 0 0 0 1 80 0 0 1 6 135 0 0 0 1 137 0 0 0 1 389 0 1 1 1 445 1 4 1 11 593 0 0 0 1 1433 23 12 2 1 1434 0 1 0 0 2301 0 1 0 6 2381 0 6 1 9 3389 0 1 0 0 4469 0 2 0 0 4584 6 2 0 0 10000 0 0 0 2 General 0 0 1 3 Total 30 32 7 43 ID009 - Top Port Overview High Medium Low Info 443 0 1 0 3 General 0 0 1 2 Total 0 1 1 5 61

ID010 - Top Port Overview High Medium Low Info 25 0 2 0 2 53 0 2 0 0 80 0 0 1 6 135 0 0 0 1 137 0 0 0 1 389 0 1 1 0 445 1 4 1 11 593 0 0 0 1 691 0 0 0 2 2301 0 1 0 6 2381 0 6 1 9 2638 0 0 0 0 3268 0 0 0 0 3269 0 0 0 0 3389 0 1 0 1 3573 0 0 1 4 8443 0 3 1 8 9090 0 0 0 4 General 0 0 1 5 Total 1 20 7 61 ID011 - Top Port Overview High Medium Low Info 80 0 0 1 6 135 0 0 0 1 137 0 0 0 1 445 0 4 1 4 593 0 0 0 1 1025 0 1 0 0 1311 0 8 1 7 1433 0 0 1 1 3389 1 2 0 1 10000 0 0 0 2 General 0 0 1 4 Total 1 15 5 28 62

ID012 - Top Port Overview High Medium Low Info 21 0 1 0 2 25 0 2 0 1 26 0 2 0 1 53 0 0 0 2 80 15 45 1 1 110 0 1 0 2 143 0 1 0 1 161 0 3 0 0 443 14 48 1 7 465 0 2 0 4 587 0 2 0 1 993 0 2 0 4 995 0 2 0 5 2086 0 1 0 4 2095 0 1 0 4 3306 0 0 1 1 General 0 0 0 3 Total 29 113 3 43 ID013 - Top Port Overview High Medium Low Info 23 0 2 0 1 80 0 0 1 6 135 0 0 0 1 137 0 0 0 1 443 22 46 2 11 445 1 4 1 4 512 0 0 0 1 514 1 0 0 0 954 0 0 0 1 1025 0 1 0 0 1521 0 0 1 1 2301 0 0 0 4 2381 0 4 1 7 3339 11 25 1 3 3389 0 1 0 1 7778 11 24 1 3 General 0 0 1 7 Total 46 107 9 52 63

ID014 - Top Port Overview High Medium Low Info 53 8 8 0 4 80 0 1 0 8 443 0 0 0 12 General 0 0 1 2 Total 8 9 1 26 ID015 - Top Port Overview High Medium Low Info 80 1 2 0 3 General 0 0 0 7 Total 1 2 0 10 ID016 - Top Port Overview High Medium Low Info 21 0 3 0 2 22 0 1 1 3 80 3 4 1 8 443 3 5 2 11 3306 0 0 1 2 General 0 0 1 2 Total 6 13 6 28 64

ID0 17- Top Port Overview High Medium Low Info 80 0 3 0 9 443 0 4 0 3 General 0 0 1 6 Total 0 7 1 18 ID018 - Top Port Overview High Medium Low Info 80 1 6 0 11 443 1 3 0 14 General 0 0 0 4 Total 2 9 0 29 ID019 - Top Port Overview High Medium Low Info 21 0 2 0 2 22 4 7 4 3 25 0 2 0 2 53 0 0 0 2 80 6 11 1 4 110 0 1 0 2 143 0 1 0 1 443 0 5 1 8 587 0 0 0 0 993 0 6 1 5 995 0 6 1 5 3306 0 0 2 1 10000 0 7 1 8 20000 0 8 1 8 General 0 0 1 3 Total 10 56 13 54 65

ID020 - Top Port Overview High Medium Low Info 21 0 3 0 3 80 37 106 7 7 443 39 104 7 5 General 0 0 1 3 Total 76 213 15 18 ID021 - Top Port Overview High Medium Low Info 80 0 2 0 4 General 7 Total 0 2 0 11 ID022 - Top Port Overview High Medium Low Info 80 50 21 10 8 2002 0 2 0 4 7777 50 22 9 5 7778 50 20 9 3 General 0 0 1 9 Total 150 65 29 29 ID023 - Top Port Overview High Medium Low Info 80 0 3 1 7 Total 0 3 1 7 66

ID024 - Top Port Overview High Medium Low Info 80 2 2 0 8 443 2 3 0 10 General 0 0 0 5 Total 4 5 0 23 ID025 - Top Port Overview High Medium Low Info 80 0 4 1 8 General 8 Total 0 4 1 8 ID026 - Top Port Overview High Medium Low Info 80 0 2 0 3 111 0 0 1 0 443 0 4 1 8 3306 0 0 1 0 General 0 0 1 3 Total 0 6 4 14 67

ID027 - Top Port Overview High Medium Low Info 80 2 7 1 8 General 4 Total 2 7 1 8 ID028 - Top Port Overview High Medium Low Info 22 0 0 0 3 23 0 2 0 1 80 0 1 0 3 2002 0 2 0 2 7777 0 1 0 3 General 0 0 1 9 Total 0 6 1 21 ID029 - Top Port Overview High Medium Low Info 80 0 5 0 0 General 10 Total 0 5 0 0 ID030 - Top Port Overview High Medium Low Info 22 0 1 0 3 80 0 12 1 6 8009 0 8 0 0 8080 0 3 0 8 General 0 0 1 5 Total 0 24 2 22 68

ID031 - Top Port Overview High Medium Low Info 21 0 2 0 2 80 34 98 5 8 443 34 98 5 6 General 0 0 1 3 Total 68 198 11 19 ID032 - Top Port Overview High Medium Low Info 80 0 7 0 6 General 0 0 0 6 Total 0 7 0 12 ID033 - Top Port Overview High Medium Low Info 80 15 61 1 9 443 15 65 1 11 General 0 0 0 6 Total 30 126 2 26 69

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια