8.3 Ασφάλεια Δικτύου 8.3.1 Ασφάλεια Πληροφοριών 8.3.2 Επεξήγηση Ορολογίας 8.3.3 Μέθοδοι Παραβίασης

Σχετικά έγγραφα
ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

8.3.4 Τεχνικές Ασφάλειας Συμμετρική Κρυπτογράφηση Ασυμμετρική Κρυπτογράφηση Ψηφιακές Υπογραφές

8.3 Ασφάλεια ικτύων. Ερωτήσεις

ΚΕΦΑΛΑΙΟ 8. Διαχείριση και Ασφάλεια Δικτύου

Αρχιτεκτονική Ασφάλειας

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Ασφάλεια Δεδομένων.

κρυπτογραϕία Ψηφιακή ασφάλεια και ιδιωτικότητα Γεώργιος Σπαθούλας Msc Πληροφορική και υπολογιστική βιοιατρική Πανεπιστήμιο Θεσσαλίας

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

Οι απειλές. Απόρρητο επικοινωνίας. Αρχές ασφάλειας δεδομένων. Απόρρητο (privacy) Μέσω κρυπτογράφησης

SOS Ερωτήσεις Δίκτυα Υπολογιστών ΙΙ

Εισαγωγή στην επιστήμη της Πληροφορικής και των Τηλεπικοινωνιών. Aσφάλεια

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Εισαγωγή στην επιστήμη της Πληροφορικής και των. Aσφάλεια

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

Εισαγωγή στην Κρυπτολογία 3. Ασφάλεια Τηλεπικοινωνιακών Συστημάτων Κωδικός DIΤ114 Σταύρος ΝΙΚΟΛΟΠΟΥΛΟΣ

ΕΠΛ 674: Εργαστήριο 1 Ασφάλεια Επικοινωνιακών Συστημάτων - Κρυπτογραφία

Λειτουργικά Συστήματα (ΗΥ321)

Υποδίκτυα και Μάσκα Υποδικτύου

Ηλεκτρονικό εμπόριο. HE 6 Ασφάλεια

Ασφάλεια Υπολογιστικών Συστημάτων

Ηλεκτρονικό εμπόριο. HE 7 Τεχνολογίες ασφάλειας

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΣΤΙΣ ΤΕΧΝΟΛΟΓΙΕΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΘΩΣ ΚΑΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

Ασφάλεια στο Ηλεκτρονικό Επιχειρείν. ΤΕΙ Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων - Πάτρα Κουτσονίκος Γιάννης

7.8 Σύστημα Ονομάτων Περιοχών (Domain Name System, DNS) Χώρος Ονομάτων του DNS

YΒΡΙΔΙΚΗ ΚΡΥΠΤΟΓΡΑΦΙΑ

γ. Αυθεντικότητα (authentication) δ. Εγκυρότητα (validity) Μονάδες 5

7.2.2 Σχέση OSI και TCP/IP

Ασφάλεια Πληροφοριακών Συστημάτων

ΕΚΦΩΝΗΣΕΙΣ ΘΕΜΑ Α. α. Πριν εμφανιστεί η τεχνολογία ISDN οι υπηρεσίες φωνής, εικόνας και δεδομένων απαιτούσαν διαφορετικά δίκτυα.

Κρυπτογραφία. Κεφάλαιο 1 Γενική επισκόπηση

ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ

8.1 Διαχείριση Δικτύου Διαχείριση Παραμέτρων Διαχείρηση επίδοσης του δικτύου Διαχείριση Σφαλμάτων Διαχείριση Ασφάλειας

Δίκτυα ΙΙ Τομέας Πληροφορικής,

ΠΡΟΤΕΙΝΟΜΕΝΑ ΘΕΜΑΤΑ ΣΤΑ ΔΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ Γ Τάξη Ε.Π.Α.Λ.

Ελληνική Δημοκρατία Τεχνολογικό Εκπαιδευτικό Ίδρυμα Ηπείρου. Πληροφορική Ι. Ενότητα 10 : Ασφάλεια. Δρ. Γκόγκος Χρήστος

Πληροφορική Ι. Μάθημα 10 ο Ασφάλεια. Τμήμα Χρηματοοικονομικής & Ελεγκτικής ΤΕΙ Ηπείρου Παράρτημα Πρέβεζας. Δρ. Γκόγκος Χρήστος

Ασφάλεια ικτύων (Computer Security)

1. Τι είναι ακεραιότητα δεδομένων, με ποιους μηχανισμούς επιτυγχάνετε κ πότε θα χρησιμοποιούσατε τον καθένα εξ αυτών;

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ. Δ Εξάμηνο

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Ασφάλεια Στο Ηλεκτρονικό Εμπόριο. Λάζος Αλέξανδρος Α.Μ. 3530

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. Κρυπτογραφία. Εισαγωγή. Χρήστος Ξενάκης

Ασφάλεια Πληροφοριακών Συστηµάτων Αρχιτεκτονική Ασφάλειας

Ασφάλεια Υπολογιστικών Συστηµάτων

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΓΙΑ ΑΣΦΑΛΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΜΕΝΗ ΕΠΙΚΟΙΝΩΝΙΑ ΜΕ ΤΗΝ ΤΡΑΠΕΖΑ ΤΗΣ ΕΛΛΑΔΟΣ. Οδηγίες προς τις Συνεργαζόμενες Τράπεζες

Ασφάλεια στο δίκτυο GSM

Ασφάλεια Πληροφοριακών Συστημάτων

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 6 ΣΕΛΙΔΕΣ

Σκοπιµότητα των firewalls

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

Αννα Νταγιου ΑΕΜ: 432. Εξαμηνο 8. Ερώτηση 1. Πληκτρολογήστε την εντολή: openssl help Παρατηρήστε τις πληροφορίες που λαµβάνετε.

ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ

Τεχνολογίες & Εφαρμογές Πληροφορικής Ενότητα 10: Ασφάλεια στο Διαδίκτυο

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

Εφαρμοσμένη Κρυπτογραφία Ι

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Πρωτόκολλα Επικοινωνίας και Τείχος Προστασίας

ΠΑΝΕΠΙΣΤΗΜΙΟ ΚΥΠΡΟΥ - ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΕΠΛ 131: ΑΡΧΕΣ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ I ΕΡΓΑΣΙΑ 2

Δίκτυα Υπολογιστών Ενότητα 6: Secure Sockets Layer - SSL

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Ασφάλεια (PGP)

Managing Information. Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business.

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Εισ. Στην ΠΛΗΡΟΦΟΡΙΚΗ. Διάλεξη 8 η. Βασίλης Στεφανής

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. Συναρτήσεις Κατακερματισμού

Κεφάλαιο 1 Ε Π Α Ν Α Λ Η Ψ Η

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΑΚΥΒΕΡΝΗΣΗ ΣΤΗΝ ΕΕ

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

ΚΡΥΠΤΟΓΡΑΦΙΑ ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο. Ψηφιακή Υπογραφή και Αυθεντικοποίηση Μηνύματος

Κρυπτογραφία. Εργαστηριακό μάθημα 1

F.A.Q. (ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ)

ΟΜΟΣΠΟΝ ΙΑ ΕΚΠΑΙ ΕΥΤΙΚΩΝ ΦΡΟΝΤΙΣΤΩΝ ΕΛΛΑ ΟΣ (Ο.Ε.Φ.Ε.) ΕΠΑΝΑΛΗΠΤΙΚΑ ΘΕΜΑΤΑ ΕΠΑΝΑΛΗΠΤΙΚΑ ΘΕΜΑΤΑ 2012 ΙΚΤΥΑ ΥΠΟΛΟΓΙΣΤΩΝ ΙΙ / ΕΙ ΙΚΟΤΗΤΑΣ

Ασφάλεια Υπολογιστικών Συστηµάτων

Δίκτυα Η/Υ ςτην Επιχείρηςη

Κορυφαίες συμβουλές πρόληψης

Διακριτά Μαθηματικά ΙΙ Χρήστος Νομικός Τμήμα Μηχανικών Η/Υ και Πληροφορικής Πανεπιστήμιο Ιωαννίνων 2018 Χρήστος Νομικός ( Τμήμα Μηχανικών Η/Υ Διακριτά

7.2 Περιοχές / Τομείς Διαχείρισης Δικτύου στο Μοντέλο

Ανδρέας Παπαζώης. Τμ. Διοίκησης Επιχειρήσεων

ΤΕΛΟΣ 1ΗΣ ΑΠΟ 5 ΣΕΛΙ ΕΣ

Τεχνολογία Ηλεκτρονικού Εμπορίου. 6η διάλεξη: Ασφάλεια ιαδικτυακών Συναλλαγών και Ηλεκτρονικού Εμπορίου (EC Security) Χρήστος Γεωργιάδης

Εγκλήματα στον Κυβερνοχώρο

Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών

Ψηφιακά Πιστοποιητικά Ψηφιακές Υπογραφές

για την επιχείρησή σας Λύση Χωρίς Συμβιβασμούς SOLO SMALL BUSINESS GATEWAY

Transcript:

Κεφάλαιο 8 8.3 Ασφάλεια Δικτύου 8.3.1 Ασφάλεια Πληροφοριών 8.3.2 Επεξήγηση Ορολογίας 8.3.3 Μέθοδοι Παραβίασης Σελ. 314-320 Γεώργιος Γιαννόπουλος ΠΕ19, ggiannop (at) sch.gr http://diktya-epal-g.ggia.info/ Creative Commons License 3.0 Share-Alike

Ασφάλεια Πληροφοριών Η ανάγκη δικτύωσης γίνεται ολοένα και πιο επιτακτική ενώ παράλληλα εμφανίζεται η ανάγκη για προστασία των πληροφοριών. Σε ένα πληροφοριακό σύστημα ως αγαθά που πρέπει να προστατεύουμε θεωρούμε τα δεδομένα που διακινούνται και αποθηκεύονται σε αυτό καθώς και τους υπολογιστικούς πόρους (εξοπλισμό) που το απαρτίζουν.

Εθνικό Ίδρυμα Ερευνών Servers Διπλοί υπολογιστές (mirrors) και διπλοί αποθηκευτικοί χώροι δεδομένων. Οπτική Ίνα UPS: μηχανήματα σταθεροποίησης ηλεκτρικής τάσης + μπαταρίες σε περίπτωση διακοπής ρεύματος.

Ασφάλεια Πληροφοριών Ο διαχειριστής/ιδιοκτήτητης ενός πληροφοριακού συστήματος διατηρεί το δικαίωμα να καθορίζει ποιος έχει πρόσβαση αλλά και ποιος μπορεί να τροποποιήσει πληροφορίες. Εξουσιοδότηση: Ορίζουμε την άδεια που παρέχει ο διαχειριστής/ιδιοκτήτης σε κάποιο χρήστη για χρήση υπολογιστικών πόρων ή πρόσβαση σε συγκεκριμένο σύνολο δεδομένων. Για παράδειγμα σε ένα web server, ένας απλός χρήστης έχει την εξουσιοδότηση να δει τα περιεχόμενα (ιστοσελίδες με κείμενο, εικόνες, αρχεία) αλλά δεν έχει την εξουσιοδότηση να τροποποιήσει τα δεδομένα. commons.wikimedia.org/wiki/file:maplestory_thief.jpg

Ασφάλεια Πληροφοριών Μέρος της ασφάλειας πληροφοριών ασχολείται με την εξασφάλιση της συνεχούς παροχής υπηρεσιών στους εξουσιοδοτημένους χρήστες και την προστασία από τους μη εξουσιοδοτημένους. Αυθεντικότητα (authentication): Απόδειξη της ταυτότητας του χρήστη για παροχή πρόσβασης στα αγαθά του συστήματος. Ακεραιότητα (integrity): Διασφάλιση ότι τα δεδομένα έχουν υποστεί αλλαγές μόνο από εξουσιοδοτημένα άτομα. Εμπιστευτικότητα (Confidentiality): Περιορισμός της πρόσβασης στα δεδομένα μόνο σε άτομα που επιτρέπεται να έχουν πρόσβαση σε αυτά. Μη άρνηση ταυτότητας (non repudiation): Η δυνατότητα απόδοσης πράξεων σε συγκεκριμένο χρήστη => απλούστερα να δούμε ποιος έκανε οποιαδήποτε αλλαγή στο σύστημα Όλα μαζί τα παραπάνω 4: Εγκυρότητα (validy): Απόλυτη ακρίβεια και πληρότητα μιας πληροφορίας (συνδυασμός Ακεραιότητας + Αυθεντικότητας). commons.wikimedia.org/wiki/file:maplestory_thief.jpg

Ασφάλεια Πληροφοριών Μέρος της ασφάλειας πληροφοριών ασχολείται με την εξασφάλιση της συνεχούς παροχής υπηρεσιών στους εξουσιοδοτημένους χρήστες και την προστασία από τους μη εξουσιοδοτημένους. Διαθεσιμότητα Πληροφοριών (Information Availability): Αποφυγή προσωρινής ή μόνιμης απώλειας πρόσβασης στις πληροφορίες από εξουσιοδοτημένους χρήστες => σε κάποιες περιπτώσεις οι χρήστες μπορούν να πληρώνουν για να έχουν πρόσβαση στις πληροφορίες που παρέχει το σύστημα => η πρόσβαση πρέπει να είναι αδιάλειπτη. Ασφάλεια (security): Η προστασία της Διαθεσιμότητας, Ακεραιότητας και Εμπιστευτικότητας των πληροφοριών. Ασφάλεια Πληροφοριών (Information Security): Ο συνδιασμός της Εμπιστευτικότητας, της Εγκυρότητας και της Διαθεσιμότητας Πληροφοριών. Παραβίαση Ασφάλειας (security violation): Η παραβίαση ενός ή περισσότερων από τις παραπάνω ιδιότητες όπως: διαθεσιμότητα, εμπιστευτικότητα και εγκυρότητα. commons.wikimedia.org/wiki/file:maplestory_thief.jpg

Ασφάλεια Πληροφοριών Γενικά ένα πληροφοριακό σύστημα είναι εκτεθειμένο σε κίνδυνους: Απειλές (threats): Ενέργειες ή γεγονότα που μπορούν να οδηγήσουν στην κατάρρευση κάποιου από τα χαρακτηριστικά ασφάλειας που ορίσαμε προηγουμένως: π.χ. Τυχαία ή φυσικά γεγονότα: (πυρκαγιά, πλημμύρα), ανθρώπινες ενέργειες (σκόπιμες ή μη). Αδυναμίες (vulnerabilities): Σημεία του πληροφορικού συστήματος τα οποία (ενδεχομένως λόγω κακού σχεδιασμού ή υλοποίησης) αφήνουν περιθώρια για παραβιάσεις. Περιπτώσεις λαθών λογισμικού, ανεπαρκή παραμετροποίηση από το προσωπικό που το εγκατέστησε και το συντηρεί. Κόστος μέτρων ασφάλειας: Αξιολόγηση αγαθών που πρέπει να προστατευτούν, πιθανοί κίνδυνοι => σχεδιασμός αρχιτεκτονικής ασφάλειας => αγορά εξοπλισμού και λογισμικού => κόστος εγκατάστασης => επιλογή κατάλληλου προσωπικού => μόνιμο λειτουργικό κόστος συντήρησης αναβάθμισης. commons.wikimedia.org/wiki/file:maplestory_thief.jpg

Επεξήγηση Ορολογίας Κρυπτόγραμμα Κρυπτογράφηση (Encryption): Η κρυπτογράφηση είναι η διαδικασία με την οποία μετατρέπονται τα αρχικά δεδομένα (γνωστά και ως plaintext) σε μορφή (κρυπτόγραμμα) η οποία δεν μπορεί πλέον να γίνει κατανοητή χωρίς να αποκρυπτογραφηθεί. Η κρυπτογράφηση γίνεται με τη βοήθεια αλγορίθμου, το αποτέλεσμα του οποίου μπορεί να αντιστραφεί ώστε να παράγει ξανά τα αρχικά δεδομένα εισόδου. Για την κρυπτογράφηση και την αποκρυπτογράφηση χρησιμοποιείται το κλειδί. Αποκρυπτογράφηση (Decryption): Προφανώς η αντίστροφη διαδικασία της κρυπτογράφησης. Ο αλγόριθμος δέχεται ως είσοδο τα κρυπτογραφημένα δεδομένα (κρυπτόγραμμα) και με τη βοήθεια του κλειδιού (το οποίο προφανώς είναι διαθέσιμο μόνο σε εξουσιοδοτημένα άτομα) τα μετατρέπει ξανά στα κανονικά δεδομένα. Τα δεδομένα πλέον δεν είναι κωδικοποιημένα και μπορούν el.wikipedia.org/wiki/κρυπτογραφία να χρησιμοποιηθούν κανονικά.

Επεξήγηση Ορολογίας Κλειδί (Key): Στο πεδίο της κρυπτογράφησης, το κλειδί είναι ένας ψηφιακός κωδικός (ένας αριθμός από bits) ο οποίος χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση της πληροφορίας. Προφανώς το κλειδί φυλάσσεται σε ασφαλές μέρος και είναι διαθέσιμο μόνο στα μέρη που επιτρέπεται να έχουν πρόσβαση στα δεδομένα. Δημόσιο Κλειδί (Public Key): Στην ασυμμετρική κρυπτογράφηση, χρησιμοποιούνται για κάθε χρήστη δύο κλειδιά, το δημόσιο και το ιδιωτικό. Η βασική ιδέα είναι ότι το δημόσιο το γνωρίζει καθένας, ενώ το ιδιωτικό μόνο ο χρήστης. Το δημόσιο κλειδί χρησιμοποιείται για να κλειδώνει (κρυπτογραφεί) ενώ το ιδιωτικό ξεκλειδώνει. Όποιος θέλει να μας στείλει κρυπτογραφημένα δεδομένα, χρησιμοποιεί το δημόσιο μας κλειδί για να τα κλειδώσει. en.wikipedia.org/wiki/file:rsa_securid_sid800.jpg

Επεξήγηση Ορολογίας Ιδιωτικό Κλειδί (Private Key): Το ιδιωτικό κλειδί χρησιμοποιείται στην ασυμμετρική κρυπτογράφηση για να αποκρυπτογραφεί και να υπογράφει δεδομένα. ΠΡΟΣΟΧΗ: το σχολικό βιβλίο γράφει λανθασμένα ότι το ιδιωτικό κλειδί κρυπτογραφεί και ελέγχει υπογραφές - αυτά τα κάνει το δημόσιο κλειδί. Το ιδιωτικό κλειδί συνδυάζεται πάντα (σαν ζεύγος) με ένα αντίστοιχο δημόσιο. Η πλήρης διαδικασία εξηγείται σε επόμενη ενότητα. Μυστικό Κλειδί (Secret Key): Ψηφιακός κωδικός που είναι γνωστός και στα δύο μέρη προκειμένου να τον χρησιμοποιήσουν σε ανταλλαγή δεδομένων με χρήση κρυπτογράφησης / αποκρυπτογράφησης

Επεξήγηση Ορολογίας Ψηφιακή Υπογραφή (Digital Signature): Η ψηφιακή υπογραφή είναι τυπικά ένας αριθμός από bit που προστίθεται στο τέλος κάποιου αρχείου και εξασφαλίζει την αυθεντικότητα ( το έστειλε πράγματι ο χρήστης Α ) και την ακεραιότητα ( το έχουμε λάβει σωστά ) ενός μηνύματος. Λειτουργία (Συνάρτηση) Κατατεμαχισμού (Hash Function): Μαθηματική συνάρτηση της οποίας η έξοδος δεν μπορεί με αντιστροφή (με κανένα τρόπο) να μας παράγει την αρχική είσοδο. Προφανώς δεν μπορεί να χρησιμοποιηθεί για κρυπτογράφηση, καθώς δεν μπορούμε μετά να αποκρυπτογραφήσουμε το κείμενο, αλλά χρησιμοποιείται για την παραγωγή συνόψεων (digests). commons.wikimedia.org/wiki/file:hash_function_el.svg

Επεξήγηση Ορολογίας Σύνοψη Μηνύματος (Message Digest): Η σύνοψη ενός μηνύματος είναι το αποτέλεσμα (έξοδος) της συνάρτησης κατατεμαχισμού. Η σύνοψη δεν έχει το ίδιο μέγεθος (είναι συνήθως μικρότερη) με το αρχικό μήνυμα κάτι το οποίο έχει νόημα, γιατί όπως εξηγήσαμε δεν μπορούμε έτσι και αλλιώς να ξαναγυρίσουμε στο αρχικό μήνυμα. Οι αλγόριθμοι κατατεμαχισμού είναι φτιαγμένοι με τέτοιο τρόπο ώστε μια μικρή μεταβολή στα δεδομένα εισόδου (π.χ. Ένα μόνο γράμμα ή ακόμα και ένα μόνο bit) να προκαλεί ολοκληρωτική αλλαγή στην έξοδο (πλήρης αλλαγή της σύνοψης). Για το λόγο αυτό η σύνοψη χρησιμοποιείται πολύ συχνά για να ελέγξουμε την ακεραιότητα κάποιου αρχείου που κατεβάσαμε π.χ. από το Internet. Σε μεγάλα downloads, μπορούμε συνήθως να κατεβάσουμε και ένα αρχείο CHECKSUM (αθροίσματος ελέγχου) που περιέχει μέσα την σύνοψη του μεγάλου αρχείου. Εκτελώντας τη συνάρτηση κατατεμαχισμού στο δικό μας μηχάνημα, μπορούμε να συγκρίνουμε τις συνόψεις: αν είναι ίδιες το αρχείο έχει κατέβει σωστά. commons.wikimedia.org/wiki/file:hash_function_el.svg

Μέθοδοι Παραβίασης Επιθέσεις σε κωδικούς πρόβασης (password attacks): Επαναχρησιμοποιούμενα passwords (συνήθεις κωδικοί στα windows, unix-linux αλλά και σε websites κλπ). Τα password μιας χρήσης: αλλάζουν συνεχώς και μπορούν να χρησιμοποιηθούν μόνο για μια φορά πρόσβαση στο Στους κωδικούς δεν σύστημα. δεν βάζουμε λέξεις, Επίθεση σε επαναχρησιμοποιούμενα password: αλλά μαζί με χαρακτήρες, αριθμούς, σύμβολα, εναλλαγή κεφαλαίων και μικρών κλπ. Προγράμματα χρησιμοποιώντας λεξικό με λέξεις και με τυχαίους συνδυασμούς χαρακτήρων προσπαθούν να βρουν τον κωδικό. Παρακολούθηση των πλήκτρων που πατάει ένας χρήστης με προγράμματα spyware (έτσι γίνεται και υποκλοπή αριθμών πιστωτικών καρτών).

Πληκτρολόγιο Οθόνης Επειδή υπάρχουν προγράμματα (spy-ware) που παρακολουθούν το πάτημα των πλήκτρων (έχουν εγκατασταθεί στον Η/Υ εν άγνοια του χρήστη), κάποιες τράπεζες ζητάνε από το χρήστη να εισάγει τον κωδικό του χρησιμοποιώντας ένα πληκτρολόγιο οθόνης όπου με το ποντίκι επιλέγεις τους χαρακτήρες του κωδικού.

Social Engineering - Παραπλάνηση. Παραδείγματα: Κάποιος προσποιείται ότι είναι υπάλληλος γραφείου (help desk) και ζητά το κωδικό του χρήστη. Μας παρακολουθεί κάποιος και βλέπει το κωδικό που πληκτρολογήσαμε. Αποστολή emails όπου υποτίθεται ή ομάδα ασφάλειας της τράπεζας σου ζητά να συνδεθείς σε ένα ψεύτικο site που μοιάζει με το site της τράπεζας και να βάλεις του κωδικούς για e-banking κλπ.

Αγαπιτέ πελάτη της Ιντερνέτ-Τράπεζας! Επειδή η κατάσταση με Οnline - Τράπεζες στη χώρα μας είναι σήμερα πολύ δύσκολη, η κυβέρνηση της Ελλάδας παρακάλεσε μας να κάνουμε τον έλεγχο για όλους τους o nline - λογαριασμούς της δηκής! μας τράπεζας να μάθουμε αν υπάρχουν "λογαριασμοί μιας μέρας", τους οποίους χρησιμοποιούν οι εγκληματίες για να αποπλύνονται τα κλεμμένα λεφτά. Δια ταυτα σας παρακαλούμε πολύ σοβαρά να συμπληρώσετε το ερωτηματολόγιο της επιβεβαιώσεις λογαριασμού στη επίσημη μας Ιντερμετ-σελίδα Οι λογαριασμοί, που δε θα επιβεβαιοθούν ως της 27.11.05, θα παγώνονται για ακαθόριστο καιρό πριν γίνει φανερό πως ακριβώς έχουν δημιουργηθεί και εκμεταλευθεί. Ο έλεγχος αυτος είναι επίκαιρος οχι μόνο για ιδιωτικούς μας πελάτες, αλλα για όλους σας. ΝΑ ΣΥΜΠΛΗΡΩΣΩ ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ Σας ζητούμε συγνώμη για τις ενοχλήσεις που προκύπται απο τη διαταγή της παρούσες εκδήλωσης και ελπίζουμε για την κατανόηση και την βοήθειά σας. Με σεβασμό, Υπηρεσία ασφάλειος Τράπεζα Alpha Bank Παραπλανητικό email για την alha bank: έχει λάθη συντακτικά και ορθογραφικά μάλλον ξένοι που δεν γνωρίζουν ελληνικά το έφτιαξαν για να κλέψουν χρήματα από ανυποψίαστους χρήστες. Σε οδηγούν σε σελίδα που δεν είναι της τράπεζας αλλά μοιάζει και στην διεύθυνση αλλά λαι στον σχεδιασμό (λογότυπα) κλπ. --- ΛΗΞΗ ΚΥΡΙΩΣ ΚΕΙΜΕΝΟΥ ΜΗΝΥΜΑΤΟΣ --Το κείμενο/σύνδεσμος "ΝΑ ΣΥΜΠΛΗΡΩΣΩ ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ" οδηγεί σε δικτυακό τόπο *ΑΣΧΕΤΟ* με την Alpha Bank. Οδηγούν σε έναν από τους εξής δικτυακούς τόπους: www.alphu.com, www.alphagr.net, www.alphe.net cert.sch.gr/index.php?name=news&file=article&sid=9&newlang=eng

Χρήση Βίας για απόκτηση κωδικού πρόβασης. Χρήση εξωτερικής φυσικής βίας: Απειλείται η σωματική ακεραιότητα του χρήστη και μπορεί να αποκαλύψει τον password που χρησιμοποιεί. Χρήση εσωτερικής βίας: Κάποιος που αντιγράφει παράνομα προγράμματα, αποκρυπτογραφεί τους κωδικούς κλειδώματος με κάποιο πρόγραμμα crack το οποίο αποκρυπτογραφεί τους κωδικούς και το πρόγραμμα δουλεύει σαν να είναι αγορασμένο νόμιμα. Υπάρχουν προγράμματα crack τα οποία δοκιμάζουν κωδικούς πρόσβασης τα οποία προσπαθούν να βρούνε κωδικούς πρόσβασης. Οι κωδικοί πρόσβασης είναι αποθηκευμένοι ως συνόψεις (digests) μέσω της λειτουργίας κατατεμαχισμού (hash function). commons.wikimedia.org/wiki/file:hash_function_el.svg

Παρακολούθηση Δικτύου (network monitoring packet sniffing) Π.χ η εφαρμογή dsniff (packet sniffer) είναι ανιχνευτής κωδικών ftp, telnet κλπ: http://en.wikipedia.org/wiki/dsniff Τα δεδομένα μεταφέρονται μέσω πακέτων. Σε κάποιες εφαρμογές όπως το ftp και το telnet ο κωδικός μεταφέρεται ως κείμενο. Ειδικά προγράμματα κάνουν ανίχνευση πακέτων (packet sniffing) ή χρησιμοποιούν κάρτα δικτύου σε κατάσταση λειτουργίας promiscurous (=αδιάκριτη, ετερόκλητη). Αποθηκεύουν όλα τα πακέτα που διακινούνται και προσπαθούν να βρουν μέσα σε αυτά κωδικούς πρόσβασης, αριθμούς πιστωτικών καρτών κλπ. Αυτό όνομάζεται: Man-in-the-middle επίθεση. Η χρήση κρυπτογράφησης είναι ο κύριος τρόπος άμυνας σε ένα packet sniffer, αφού τα υπο-κλεμμένα πακέτα δεν μπορούν να αποκωδικοποιηθούν. Στο http://en.wikipedia.org/wiki/packet_analyzer υπάρχει μια λίστα από λίστα από προγράμματα ανίχνευσης πακέτων.

Man in the middle attack Alice Γεια σου Bob, είμαι η Alice. Δώσε το κλειδί ---> Mallory Bob Alice Mallory Γεια σου Bob, Είμαι η Alice. Δώσε το κλειδί ---> Bob Alice Mallory <--- [Κλειδί Bob] Alice <--- [Κλειδί Mallory] Mallory Bob Bob Alice Θα βρεθούμε στη στάση λεωφορείου (κρυπτογραφημένο με το κλειδί του Mallory) --> Mallory Bob Alice Mallory Θα βρεθούμε στην κεντρική πλατεία (κρυπτογραφημένο με το κλειδί του Bob --> Bob commons.wikimedia.org/wiki/file:man_in_the_middle_attack.svg

Μεταμφίεση (Masquerade) IP Spoofing: Επίθεση με μεταμφίεση, ο οποίος βρίσκεται σε άλλο δίκτυο, αλλά προσποιείται ότι βρίσκεται στο δικό μας (εύρος τοπικών IP διευθύνσεων ξεγελά firewall). Εισάγει δεδομένα ή εντολές σε υπάρχον πακέτο δεδομένων, κατά την διάρκεια της επικοινωνίας τύπου client-server ή σε δίκτυα από σημείο σε σημείο => αλλάζει τους πίνακες δρομολόγησης που έδειχναν προς την διεύθυνση, που έχει προσποιηθεί ότι βρίσκεται => κλέβει κωδικούς, στέλνει emails κλπ. commons.wikimedia.org/wiki/file:igbo_contemporary_masquerade.jpg

Άρνηση Παροχής Υπηρεσιών (Denial of Service) Επιθέσει που εστιάζουν στην εξάντληση των ορίων των πόρων του δικτύου => π.χ. Αριθμών πακέτων που μπορεί να χειριστεί ένας δρομολογητής ταυτόχρονα. Για παράδειγμα στις αρχές του 2000 τέτοιες επιθέσεις έγιναν στα site: Yahoo και CNN. Εάν σε ένα εξυπηρετητή ζητηθεί να εξυπηρετήσει πολύ μεγαλύτερο όγκο εργασιών από ότι είναι σχεδιασμένος σε συγκεκριμένο χρονικό διάστημα, τότε είναι λογικό ότι θα καταρρεύσει. Malwares χρησιμοποιούνται για συντονισμένες επιθέσεις (υπολογιστής zombie). Είναι κάτι αντίστοιχο που έχουν κάνει (κακώς) στο παρελθόν μαθητές σε 5ήμερες: εάν συνεννοηθούν σε ένα μεγάλο ξενοδοχείο να τραβήξουν όλοι την εκκένωση της τουαλέτας, τότε θα σπάσουν οι σωλήνες του ξενοδοχείου.

Παράδειγμα επίθεσης: Ping of Death Το ping είναι μια μέθοδος για τον εντοπισμό της διαθεσιμότητας και της απόδοσης ενός απομακρυσμένου πόρου του δικτύου. Η επίθεση Ping Of Death συντελείται όταν ένας ηλεκτρονικός υπολογιστής στέλνει κακοσχηματισμένα πακέτα ping σε έναν άλλο υπολογιστή με σκοπό να τον θέσει εκτός λειτουργίας. Συγκεκριμένα: Ένα πακέτο ping έχει κανονικά μέγεθος 64 bytes (ή 84 bytes εάν προστεθεί και η κεφαλίδα που προσθέτει το πρωτόκολλο IP). Πολλοί τύποι ηλεκτρονικών υπολογιστών δεν μπορούν να χειριστούν πακέτα ping που έχουν μέγεθος μεγαλύτερο από 65535 bytes, δηλαδή το μέγιστο επιτρεπτό από το πρωτόκολλο IP. Κατά συνέπεια, η επίθεση Ping Of Death περιλαμβάνει την συνεχή αποστολή μεγάλων πακέτων ping σε κάποιον υπολογιστή μέχρι ο τελευταίος να τεθεί εκτός λειτουργίας. http://el.wikipedia.org/wiki/ping http://el.wikipedia.org/wiki/ping_of_death

Επιθέσεις στο επίπεδο των εφαρμογών (application-layer attacks) Π.χ. Στο Telnet το όνομα χρήστη και ο κωδικός πρόσβασης αποστέλνεται ως απλό κείμενο: άρα κάποιος που έχει πρόσβαση στο router (man in the middle) ή σε κάποιο ενδιάμεσο κόμβο μπορεί να τα υποκλέψει. Οι εφαρμογές πρωτοκόλλων όπως το http, ActiveX, Telnet, ftp παρουσιάζουν αδυναμίες στον κώδικά του (γνωστές ως τρύπες holes): κάποιος που γνωρίζει αυτές τις αδυναμίες μπορεί να επιτεθεί και να αποκτήσει πρόσβαση στο σύστημα για να προκαλέσει ζημιά ή συλλογή πληροφοριών.

Βιβλιογραφία http://diktia.dyndns.org/ - Ανεπίσημο βοήθημα για την Πληροφορική Γ' Πληροφορικής των ΕΠΑ.Λ του Μανώλη Κιαγιά.

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια