Ασφάλεια Υπολογιστικών Συστημάτων

Σχετικά έγγραφα
Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 12: Λογισμός Κόστους (2)

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Λογιστική Κόστους Ενότητα 8: Κοστολογική διάρθρωση Κύρια / Βοηθητικά Κέντρα Κόστους.

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ασφάλεια Υπολογιστικών Συστημάτων

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού σε κατάσταση Κορεσμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Εισαγωγή στους Αλγορίθμους

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Ασφάλεια Υπολογιστικών Συστημάτων

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους (1)

Βάσεις Δεδομένων. Ενότητα 1: Εισαγωγή στις Βάσεις δεδομένων. Πασχαλίδης Δημοσθένης Τμήμα Ιερατικών σπουδών

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 2: ΣΥΓΚΕΝΤΡΩΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΜΑΡΚΕΤΙΝΓΚ Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Εισαγωγή στους Αλγορίθμους

Διοικητική Λογιστική

Λογιστική Κόστους Ενότητα 11: Λογισμός Κόστους

Εισαγωγή στην Διοίκηση Επιχειρήσεων

Τεχνολογία Πολυμέσων. Ενότητα 8: Pool Table. Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

ΣΥΣΤΗΜΑΤΑ ΗΛΕΚΤΡΙΚΗΣ ΕΝΕΡΓΕΙΑΣ ΙIΙ

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 3: Έλεγχοι στατιστικών υποθέσεων

Λογιστική Κόστους Ενότητα 10: Ασκήσεις Προτύπου Κόστους Αποκλίσεων.

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Τίτλος Μαθήματος: Μαθηματική Ανάλυση Ενότητα Γ. Ολοκληρωτικός Λογισμός

Εισαγωγή στους Αλγορίθμους

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 2: Αιωρούμενα σωματίδια & Απόδοση συλλογής Αν. Καθ. Δρ Μαρία Α. Γούλα Τμήμα Μηχανικών

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

ΑΝΑΛΥΣΗ ΧΡΗΜΑΤΟΟΙΚΟΝΟΜΙΚΩΝ ΚΑΤΑΣΤΑΣΕΩΝ

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 1: Καταχώρηση δεδομένων

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 1: Εκτιμητές και Ιδιότητες. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Θερμοδυναμική. Ανοικτά Ακαδημαϊκά Μαθήματα. Πίνακες Νερού Υπέρθερμου Ατμού. Γεώργιος Κ. Χατζηκωνσταντής Επίκουρος Καθηγητής

Συστήματα Αναμονής. Ενότητα 3: Στοχαστικές Ανελίξεις. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Συστήματα Αναμονής. Ενότητα 9: Ανέλιξη Γέννησης - Θανάτου. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Στατιστική Ι. Ενότητα 3: Στατιστική Ι (3/4) Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Κοζάνη)

Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Αθήνας. Βιοστατιστική (Ε) Ενότητα 2: Περιγραφική στατιστική

Ενότητα. Εισαγωγή στις βάσεις δεδομένων

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών

Διεθνείς Οικονομικές Σχέσεις και Ανάπτυξη

ΟΙΚΟΝΟΜΕΤΡΙΑ. Ενότητα 3: Πολλαπλή Παλινδρόμηση. Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Εισαγωγή στη Διοίκηση Επιχειρήσεων Ενότητα 3: Λήψη Αποφάσεων Επίκ. Καθηγητής Θεμιστοκλής Λαζαρίδης Τμήμα Διοίκηση Επιχειρήσεων (Γρεβενά)

Διοικητική Λογιστική

Συστήματα Αναμονής. Ενότητα 5: Ανέλιξη Poisson. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Δομές Δεδομένων Ενότητα 1

Ειδικά Θέματα Δικτύων Ι

Μηχανολογικό Σχέδιο Ι

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Prim

Διοίκηση Εξωτερικής Εμπορικής Δραστηριότητας

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Εισαγωγή στους Αλγορίθμους Ενότητα 10η Άσκηση Αλγόριθμος Dijkstra

Εκκλησιαστικό Δίκαιο. Ενότητα 10η: Ιερά Σύνοδος της Ιεραρχίας και Διαρκής Ιερά Σύνοδος Κυριάκος Κυριαζόπουλος Τμήμα Νομικής Α.Π.Θ.

Ιστορία της μετάφρασης

Γενικά Μαθηματικά Ι. Ενότητα 12: Κριτήρια Σύγκλισης Σειρών. Λουκάς Βλάχος Τμήμα Φυσικής ΑΝΟΙΚΤΑ ΑΚΑΔΗΜΑΪΚΑ ΜΑΘΗΜΑΤΑ

Οργάνωση και Διοίκηση Πωλήσεων

Αντικειμενοστρεφής Προγραμματισμός Ενότητα 5: Κληρονομικότητα. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Κβαντική Επεξεργασία Πληροφορίας

Τεχνολογία Πολιτισμικού Λογισμικού

ΗΛΕΚΤΡΟΝΙΚΗ ΙIΙ Ενότητα 6

Διδακτική της Πληροφορικής

Εισαγωγή στους Αλγορίθμους Ενότητα 9η Άσκηση - Αλγόριθμος Kruskal

Σχεδίαση Δικτύων Υπολογιστών

Εισαγωγή στην Πληροφορική

Συστήματα Αναμονής. Ενότητα 7: Ουρά Μ/Μ/1. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Οργάνωση και Διοίκηση Πωλήσεων

Έλεγχος και Διασφάλιση Ποιότητας Ενότητα 4: Μελέτη ISO Κουππάρης Μιχαήλ Τμήμα Χημείας Εργαστήριο Αναλυτικής Χημείας

Ασφάλεια Πληροφοριακών Συστημάτων

1 η Διάλεξη. Ενδεικτικές λύσεις ασκήσεων

Λογιστική Κόστους. Ενότητα 4: ΣΥΜΠΕΡΙΦΟΡΑ - ΦΥΣΗ ΚΟΣΤΟΥΣ. Μαυρίδης Δημήτριος Τμήμα Λογιστικής και Χρηματοοικονομικής

Νέες Τεχνολογίες και Καλλιτεχνική Δημιουργία

Ενδεικτικές λύσεις ασκήσεων διαχείρισης έργου υπό συνθήκες αβεβαιότητας

Εκκλησιαστικό Δίκαιο

Ασφάλεια Υπολογιστικών Συστημάτων. Ενότητα 9: Intrusion Detection Systems - Netfilter (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Βάσεις Περιβαλλοντικών Δεδομένων

ΗΛΕΚΤΡΟΤΕΧΝΙΑ-ΗΛΕΚΤΡΟΝΙΚΗ ΕΡΓΑΣΤΗΡΙΟ

Ειδικά Θέματα Δικτύων ΙΙ

Οργάνωση και Διοίκηση Πωλήσεων Ενότητα 1: Ο ΡΟΛΟΣ ΤΩΝ ΠΩΛΗΣΕΩΝ ΣΤΟ ΠΛΑΙΣΙΟ ΤΗΣ ΣΤΡΑΤΗΓΙΚΗΣ ΜΑΡΚΕΤΙΝΓΚ

Συστήματα Αναμονής. Ενότητα 4: Αλυσίδες Markov. Αγγελική Σγώρα Τμήμα Μηχανικών Πληροφορικής ΤΕ

Εφαρμογές των Τεχνολογιών της Πληροφορίας και των Επικοινωνιών στη διδασκαλία και τη μάθηση

Προγραμματισμός H/Y Ενότητα 4: Δείκτες. Επικ. Καθηγητής Συνδουκάς Δημήτριος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Ηλεκτροτεχνία ΙΙ. Ενότητα 1: Βασικές Έννοιες Ηλεκτροτεχία Ηλεκτρονική. Δημήτρης Στημονιάρης, Δημήτρης Τσιαμήτρος Τμήμα Ηλεκτρολογίας

Ασφάλεια Πληροφοριακών Συστημάτων

Ψηφιακή Επεξεργασία Εικόνων

Στατιστική Ι. Ενότητα 2: Στατιστική Ι (2/4) Αναπλ. Καθηγητής Νικόλαος Σαριαννίδης Τμήμα Διοίκησης Επιχειρήσεων (Κοζάνη)

Εισαγωγή στην Πληροφορική

Ειδικά Θέματα Δικτύων ΙΙ. Ενότητα 7: Δρομολόγηση κατάστασης ζεύξης (Μέρος 1) Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Βέλτιστος Έλεγχος Συστημάτων

Οικονομετρία Ι. Ενότητα 3: Θεώρημα των Gauss Markov. Δρ. Χαϊδώ Δριτσάκη Τμήμα Λογιστικής & Χρηματοοικονομικής

ΑΝΤΙΡΡΥΠΑΝΤΙΚΗ ΤΕΧΝΟΛΟΓΙΑ ΑΙΩΡΟΥΜΕΝΩΝ ΣΩΜΑΤΙΔΙΩΝ Ενότητα 6: Ηλεκτροστατικά Φίλτρα

Τεχνικό Σχέδιο - CAD

Λογιστική Κόστους Ενότητα 7: Κοστολογική διάρθρωση Κέντρα Κόστους.

Γραμμική Άλγεβρα και Μαθηματικός Λογισμός για Οικονομικά και Επιχειρησιακά Προβλήματα

Ειδικά Θέματα Δικτύων Ι

Θεσμοί Ευρωπαϊκών Λαών Ι 19 ος -20 ος αιώνας

Ασφάλεια Πληροφοριακών Συστημάτων

Οικονομετρία Ι. Ενότητα 8: Κανονικότητα. Δρ. Χαϊδώ Δριτσάκη Τμήμα Λογιστικής & Χρηματοοικονομικής

Μεθοδολογία Έρευνας Κοινωνικών Επιστημών Ενότητα 4: Πηγές Δεδομένων- Δευτερογενή Στοιχεία. Λοίζου Ευστράτιος Τμήμα Τεχνολόγων Γεωπόνων-Kατεύθυνση

Transcript:

Ασφάλεια Υπολογιστικών Συστημάτων Ενότητα 7: Εισβολείς Νικολάου Σπύρος Τμήμα Μηχανικών Πληροφορικής ΤΕ

Άδειες Χρήσης Το παρόν εκπαιδευτικό υλικό υπόκειται σε άδειες χρήσης Creative Commons. Για εκπαιδευτικό υλικό, όπως εικόνες, που υπόκειται σε άλλου τύπου άδειας χρήσης, η άδεια χρήσης αναφέρεται ρητώς. 2

Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο TEI Δυτικής Μακεδονίας και στην Ανώτατη Εκκλησιαστική Ακαδημία Θεσσαλονίκης» έχει χρηματοδοτήσει μόνο τη αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους. 3

Σκοποί ενότητας Αυτή η ενότητα πραγματεύεται ζητήματα σχετικά με τους εισβολείς σε ένα σύστημα. 4

Περιεχόμενα ενότητας (1/3) Εισαγωγή. Μεταμφιεσμένος. Παράνομος. Κρυφός χρήστης. Απειλές Εισβολέων. Κλασικά Παραδείγματα Εισβολέων. Τεχνικές Εισβολής. 5

Περιεχόμενα ενότητας (2/3) Ανίχνευση και Αποτροπή Εισβολών. Προσεγγίσεις Ανίχνευσης Εισβολών. Εγγραφές Παρακολούθησης. Δολώματα. Διαχείριση Συνθηματικών. Unix passwords. Unix Loading a new password. 6

Περιεχόμενα ενότητας (3/3) Salt. Αδυναμίες Συνθηματικών. Στρατηγικές επιλογής password. Προσεγγίσεις προληπτικού ελέγχου password. Βιβλιογραφία. 7

Εισβολείς

Εισαγωγή Μια από τις δύο πιο διάσημες απειλές ασφάλειας. Η άλλη είναι το κακόβουλο λογισμικό. Κοινώς γνωστοί ως hackers, crackers. O Anderson1 προσδιόρισε 3 κατηγορίες. Μεταμφιεσμένος (masquerader). Παράνομος (misfeasor). Κρυφός χρήστης (clandestine user). 9

Μεταμφιεσμένος Άτομο μη εξουσιοδοτημένο να χρησιμοποιεί κάποιο υπολογιστή. Διαπερνά τους ελέγχους πρόσβασης του συστήματος. Εκμεταλλεύεται το λογαριασμό ενός νόμιμου χρήστη. Συνήθως κάποιος εξωτερικός παρείσακτος. 10

Παράνομος Νόμιμος χρήστης. Άρα κάποιος εκ των «έσω». Προσπελάσει δεδομένα, προγράμματα ή πόρους για τα οποία δεν έχει εξουσιοδότηση. Ή είναι εξουσιοδοτημένος για πρόσβαση σε αυτά αλλά κακομεταχειρίζεται τα προνόμιά του. 11

Κρυφός χρήστης Άτομο που αποκτά τον γενικό έλεγχο εποπτείας ενός συστήματος (supervisor). Τον χρησιμοποιεί για να αποφύγει την παρακολούθηση και τους ελέγχους πρόσβασης. Ή για να εμποδίσει την συλλογή δεδομένων παρακολούθησης. Μπορεί να είναι είτε εξωτερικός είτε εσωτερικός. 12

Απειλές Εισβολέων Ήπιες. Π.χ. κάποιοι θέλουν απλά να εξερευνήσουν κάποιο δίκτυο. Σοβαρές. Π.χ. άτομα που επιδιώκουν. Πρόσβαση σε απόρρητα δεδομένα. Ή μη εξουσιοδοτημένες τροποποιήσεις. Ή διάρρηξη συστήματος. 13

Κλασικά Παραδείγματα Εισβολέων (1/2) Περιστατικό Wily Hacker. Lawrence Berkeley Lab (LBL) το 1986-1987. Αποφασίστηκε να παρατηρήσουν τον επιτιθέμενο πριν τον αντιμετωπίσουν. Συνεργάστηκαν FBI και πολλοί στρατιωτικοί οργανισμοί. Χρησιμοποιήθηκαν offline-monitors για να παρατηρούν όλες τις ενέργειες του επιτιθέμενου. Τελικά δεν αποδείχθηκε και πολύ πεπειραμένος ο επιτιθέμενος. Απλά χρησιμοποιούσε κοινά «τυφλά σημεία» ασφάλειας των ΛΣ. Πραγματοποιήθηκαν 3 συλλήψεις το 1988. 14

Κλασικά Παραδείγματα Εισβολέων (2/2) Πανεπιστήμιο Texas Α&Μ 1992 2000 διασυνδεδεμένα μηχανήματα. Καταγράφθηκε επίθεση από υπολογιστή του Πανεπιστημίου σε απομακρυσμένη τοποθεσία. Οι επιθέσεις γινόταν από εξωτερικούς εισβολείς που έσπαζαν συνθηματικά σε διάφορους υπολογιστές. Αποσυνδέθηκαν τα επηρεασμένα μηχανήματα και επιδιορθώθηκαν τα κενά ασφάλειας. Λίγες μέρες μετά η επίθεση ξανάρχισε. Βρέθηκαν αρχεία με εκατοντάδες κλεμμένα συνθηματικά. Επιπλέον ένα τοπικό μηχάνημα λειτουργούσε σαν πίνακας ανακοινώσεων των χάκερ, που χρησιμοποιούνταν για επικοινωνία μεταξύ τους. 15

Τεχνικές Εισβολής (1/3) Σκοπός: Να αποκτήσει πρόσβαση σε ένα σύστημα ή να αυξήσει τα προνόμιά του σε αυτό. Απαιτείται από τον εισβολέα να αποκτήσει πρόσβαση σε πληροφορίες οι οποίες προστατεύονται π.χ. Password. Τυπικά κάθε σύστημα διατηρεί αρχείο συσχέτισης συνθηματικών με χρήστες που μπορεί να προστατευτεί με: Μονόδρομη κρυπτογράφηση. Κρυπτογράφηση του συνθηματικού. Έλεγχος πρόσβασης. Η πρόσβαση στο αρχείο των συνθηματικών περιορίζεται σε έναν ή πολύ λίγους λογαριασμούς. 16

Τεχνικές Εισβολής (2/3) Δοκιμή προεπιλεγμένων συνθηματικών. Εξαντλητική δοκιμή όλων των μικρών συνθηματικών (1-4 χαρακτήρες). Δοκιμή λέξεων από ηλεκτρονικό λεξικό ή από λίστα με πιθανά συνθηματικά. Συλλογή πληροφοριών από χρήστες (ονόματα των ίδιων, συζύγων και παιδιών, φωτογραφίες, βιβλία κτλ). Δοκιμή τηλεφωνικών αριθμών, αριθμών μητρώου ασφάλειας, αριθμοί δωματίου κτλ. 17

Τεχνικές Εισβολής (3/3) Δοκιμή αριθμών πινακίδων όλης της χώρας. Χρήση Δούρειου Ίππου για παράκαμψη περιορισμών πρόσβασης. Κρυφή παρακολούθηση της τηλεπικοινωνιακής ζεύξης ενός απομακρυσμένου χρήστη και του εξυπηρετητή. 18

Ανίχνευση και Αποτροπή Εισβολών Αναπόφευκτα και το καλύτερο σύστημα αποτροπής εισβολών θα αποτύχει. Άρα είναι πολύ σημαντική και η ανίχνευσή τους. Έγκαιρο μπλοκάρισμα εισβολής πριν προκαλέσει ζημιά. Μπορεί να αποθαρρύνει τις προσπάθειες εισβολών. Η συλλογή πληροφοριών σχετικά με τις ανιχνευθείσες εισβολές μπορεί να χρησιμοποιηθεί για την ενδυνάμωση της υπηρεσίας αποτροπής εισβολών. Υπόθεση: Οι εισβολείς συμπεριφέρνονται διαφορετικά από τους νόμιμους χρήστες. 19

Προσεγγίσεις Ανίχνευσης Εισβολών (1/2) Ανίχνευση στατιστικών ανωμαλιών. Συλλογή δεδομένων σχετικών με την συμπεριφορά νόμιμων χρηστών. Εφαρμογή στατιστικών ελέγχων για να ελεγχθεί αν η συμπεριφορά δεν είναι νόμιμου χρήστη. Ανίχνευση με κατώφλια: Ορισμός κατωφλίων για την συχνότητα εμφάνισης συμβάντων. Ανίχνευση βασισμένη σε προφίλ: Αναπτύσσεται προφίλ συμπεριφοράς για κάθε χρήστη και επιδιώκεται η ανίχνευση αλλαγών σε αυτό. 20

Προσεγγίσεις Ανίχνευσης Εισβολών (2/2) Ανίχνευση βασισμένη σε κανόνες. Ανίχνευση ανωμαλιών: Αναπτύσσονται κανόνες για ανίχνευση της απόκλισης από προηγούμενα μοτίβα χρήσης. Ανίχνευση διείσδυσης: Βασίζεται σε έμπειρα συστήματα και ψάχνει για ύποπτη συμπεριφορά. 21

Εγγραφές Παρακολούθησης (1/2) Βασικό εργαλείο ανίχνευσης εισβολών. Καταγράφουν την συνεχή δραστηριότητα των χρηστών. Δίδονται σαν είσοδος στο σύστημα ανίχνευσης εισβολών. Εγγενείς εγγραφές παρακολούθησης. Κομμάτι σχεδόν όλων των λειτουργικών συστημάτων. Δεν απαιτείται πρόσθετο λογισμικό συλλογής πληροφοριών. Μπορεί να μην περιέχουν τις απαιτούμενες πληροφορίες σε βολική μορφή. 22

Εγγραφές Παρακολούθησης (2/2) Εγγραφές παρακολούθησης ειδικά για την ανίχνευση. Κατασκευάζει εγγραφές μόνο με εκείνες τις πληροφορίες που απαιτούνται από το σύστημα ανίχνευσης. Προσέγγιση ανεξάρτητη πλατφόρμας. Προσδίδει επιπλέον φόρτο στο σύστημα. 23

Δολώματα Σχετικά πρόσφατη καινοτομία στην τεχνολογία ανίχνευσης εισβολών. Συστήματα δελεασμού των δυνητικών επιτιθέμενων. Συλλέγουν πληροφορίες για την δραστηριότητα του επιτιθέμενου. Ενθαρρύνουν τον επιτιθέμενο να παραμείνει για αρκετό χρόνο στο σύστημα ώστε να ανταποκριθούν οι διαχειριστές. Περιέχουν φαινομενικά πολύτιμες πληροφορίες στις οποίες ένας νόμιμος χρήστης δεν έχει πρόσβαση. Άρα όλες οι προσπελάσεις των πληροφοριών είναι ύποπτες. 24

Διαχείριση Συνθηματικών Τα passwords παρέχουν ασφάλεια με τους ακόλουθους τρόπους. Καθορίζουν αν ο χρήστης είναι εξουσιοδοτημένος να αποκτήσει πρόσβαση σε ένα σύστημα - αυθεντικοποίηση- πιστοποίηση ταυτότητας χρήστη. Καθορίζει τα προνόμια που αντιστοιχούν σε κάθε χρήστη. Χρησιμοποιείται για διακριτικό έλεγχο πρόσβασης. Π.χ. για εκχώρηση δικαιωμάτων από έναν χρήστη σε άλλους σε σχέση με τα προσωπικά του αρχεία. 25

Unix passwords Αρχικά αποθηκεύονταν σε ένα δημόσιο αρχείο etc/passwords. Σήμερα διατηρούνται σε ένα shadow directory το οποίο είναι προσβάσιμο μόνο από το root. 26

Unix Loading a new password Salt: Σχετίζεται με τον χρόνο που ανατέθηκε το password στον χρήστη. Η crypt(3) βασίζεται στον DES. Περιλαμβάνει 25 γύρους κρυπτογράφησης. 27

Salt Εξυπηρετεί 3 σκοπούς. Αποτρέπει τα διπλότυπα passwords. Αν 2 χρήστες επιλέξουν το ίδιο password, αυτά θα ανατεθούν σε διαφορετικό χρόνο. Αυξάνει το μήκος του συνθηματικού από 8 χαρακτήρες σε 10 χωρίς να απαιτείται από τον χρήστη να θυμάται τους 2 επιπλέον. Αποτρέπει την χρήση DES η οποία θα έκανε πιο εύκολη την εξαντλητική επίθεση. 28

Αδυναμίες Συνθηματικών Εύκολη απομνημόνευση εύκολη μαντεψιά. Δύσκολη απομνημόνευση εγγραφή τους σε χαρτάκια και ατζέντες. Λεξικογραφική επίθεση (dictionary attack). Επιλογή συνόλου συνθηματικών και δοκιμή όλων. Αυτόματο σύστημα που δοκιμάζει όλες τις λέξεις που περιέχονται σε ένα λεξικό. Εξαντλητική έρευνα (brute force attack). Δοκιμή όλων των δυνατών συνδυασμών συμβόλων. Αποτελεσματική για την εικασία συνθηματικών με μικρό μήκος και περιορισμένο δείγμα συμβόλων (π.χ. 1234 ή ABCD ). Π.χ. L0phtCrack.exe για Unix και Windows. 29

Στρατηγικές επιλογής password (1/4) Σκοπός: Η εξάλειψη των προβλέψιμων συνθηματικών και παράλληλα η επιλογή ευκολομνημόνευτων συνθηματικών. 4 βασικές τεχνικές. 1. Εκπαίδευση χρηστών. 2. Συνθηματικά παραγόμενα από υπολογιστή (computer generated passwords). 3. Αντιδραστικός (reactive) έλεγχος συνθηματικού. 4. Προληπτικός (proactive) έλεγχος συνθηματικού. 30

Στρατηγικές επιλογής password (2/4) Εκπαίδευση χρηστών. Ανεπιτυχής σε περίπτωση πολλών χρηστών. Πολλοί χρήστες αγνοούν τις οδηγίες. Πολλοί χρήστες δεν μπορούν να διακρίνουν τα «δύσκολα» συνθηματικά. Συνθηματικά παραγόμενα από υπολογιστή. Δυσκολία στην απομνημόνευση. Οι χρήστες μπορεί να παρασυρθούν και να τα καταγράψουν κάπου. FIPS PUB 181 αυτόματη γεννήτρια password. Παράγει λέξεις που μπορούν να προφερθούν. 31

Στρατηγικές επιλογής password (3/4) Αντιδραστικός (reactive) έλεγχος συνθηματικού. Το σύστημα εκτελεί έλεγχο με πρόγραμμα σπασίματος κωδικών. Εντοπίζονται τα αδύναμα passwords και ειδοποιείται ο χρήστης. Απαιτητική σε πόρους. Τα αδύναμα passwords παραμένουν ευάλωτα μέχρι να εντοπιστούν. 32

Στρατηγικές επιλογής password (4/4) Προληπτικός (proactive) έλεγχος συνθηματικού. Ο χρήστης επιλέγει το password του. Την ώρα της επιλογής το password ελέγχεται. Αν είναι αδύναμο απορρίπτεται. Πρέπει να υπάρχει ισορροπία ανάμεσα στην αποδοχή από τον χρήστη και την ισχύ του password. Ο χρήστης θα παραπονεθεί σε περίπτωση πολλαπλής αποτυχίας στην επιλογή του password. 33

Προσεγγίσεις προληπτικού ελέγχου password (1/3) 1η προσέγγιση: Επιβολή κάποιων απλών κανόνων. Π.χ.: «Όλα τα passwords πρέπει να έχουν μήκος τουλάχιστον 8 χαρακτήρες». «Στο password πρέπει να περιλαμβάνεται τουλάχιστον ένα από τα κεφαλαία γράμματα, τα πεζά, τους αριθμούς και τα σημεία στίξης». Η προσέγγιση θα μπορούσε να συνοδεύεται και από συμβουλές προς τους χρήστες. Μειονέκτημα: προειδοποιεί τους crackers για το ποια passwords να μην δοκιμάσουν. 34

Προσεγγίσεις προληπτικού ελέγχου password (2/3) 2η προσέγγιση: σύνταξη λεξικού με τα «κακά» passwords. Το σύστημα ελέγχει αν οι χρήστες επέλεξαν κάποιο password που υπάρχει στο λεξικό. Προβλήματα: Το λεξικό θα πρέπει να καταλαμβάνει πολύ χώρο. Π.χ. Purdue 30MB. Ο χρόνος αναζήτησης στο λεξικό είναι πολύ μεγάλος. 35

Προσεγγίσεις προληπτικού ελέγχου password (3/3) 3η προσέγγιση: Μοντέλο Markov. Παράγει προβλέψιμα passwords. Μ = [m, A, T, k]. m= Αριθμός καταστάσεων. A = Χώρος καταστάσεων. Τ = Πίνακας πιθανοτήτων μεταβάσεων. k = Τάξη του μοντέλου. Τα αλφαριθμητικά που παράγονται από το μοντέλο αποτελούν αδύναμα συνθηματικά. 36

Σημείωμα Αναφοράς Copyright ΤΕΙ Δυτικής Μακεδονίας, Νικολάου Σπύρος. «Ασφάλεια Υπολογιστικών Συστημάτων». Έκδοση: 1.0. Κοζάνη 2015. Διαθέσιμο από τη δικτυακή διεύθυνση: 37

Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό και τα οποία αναφέρονται μαζί με τους όρους χρήσης τους στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/by-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο. που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο. που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο. Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί. 38

Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς. το Σημείωμα Αδειοδότησης. τη δήλωση Διατήρησης Σημειωμάτων. το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει). μαζί με τους συνοδευόμενους υπερσυνδέσμους. 39

Βιβλιογραφία 1. Κρυπτογραφία για Ασφάλεια Δικτύων Αρχές και Εφαρμογές, Stallings. 2. Βασικές Αρχές Ασφάλειας Δικτύων: Εφαρμογές και Πρότυπα, William Stallings. 3. Ασφάλεια δικτύων 6η Έκδοση, McClure Stuart, Scambray Joel, Kurtz George. 4. Ασφάλεια Πληροφοριακών συστημάτων, Παγκαλος Γ., Μαυριδης Ι. 40

Τέλος Ενότητας

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια