Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Ιονίων Νήσων Ασφάλεια Πληροφοριακών Συστημάτων Ενότητα 8: Επιθέσεις Το περιεχόμενο του μαθήματος διατίθεται με άδεια Creative Commons εκτός και αν αναφέρεται διαφορετικά Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους.
ΤΕΙ Ιονίων Νήσων Ασφάλεια Πληροφοριακών Συστημάτων Επιθέσεις Δρ. Αθανάσιος Κακαρούντας 2
Επιθέσεις Διαφόρων τύπων Σε δικτυακές εγκαταστάσεις Σε ανοικτά δίκτυα Σε κρυπτογραφημένα κείμενα Σε κρυπτογραφημένα πακέτα Στόχος να ληφθεί «πολύτιμη» πληροφορία για τον ιδιοκτήτη της 3
Τύποι επιθέσεων Με χρήση ενός τυπικού δίσκου μετάθεσης 4
Τύποι επιθέσεων Με χρήση λεξικού! Η κατανομή των γραμμάτων σε ένα κείμενο δεν είναι τυχαία. Συνεπώς αν εντοπίσω την κατανομή στο κρυπτογραφημένο κείμενο μπορώ να αντικαταστήσω με την αντίστοιχη ενός τυπικού ελληνικού κειμένου! 14 12 10 8 6 4 2 0 Α Β Γ Δ Ε Ζ Η Θ Ι Κ Λ Μ Ν Ξ Ο Π Ρ Σ T Υ Φ Χ Ψ Ω 5
Τύποι επιθέσεων Brutal Force Ο ωτακουστής hacker διαθέτει μεγάλη υπολογιστική ισχύ, οπότε δοκιμάζει όλους τους συνδυασμούς κλειδιού για να «σπάσει» τον κώδικα Για παράδειγμα, για ένα μήνυμα που κρυπτογραφήθηκε με τον AES-128, απαιτούνται 2 128 = 3,40. 10 38 συνδυασμοί! 6
Τύποι επιθέσεων Χρήση codebooks Διαθέσιμα στο Internet (!) με passwords που είναι πιθανό να χρησιμοποιηθούν (ή έχουν υποκλαπεί!) Πάντοτε να αλλάζετε το password που χρησιμοποιείται, ανα πρόγραμμα, ανά υπηρεσία και ανα μήνα αν είναι δυνατόν. 7
Τύποι επιθέσεων Περιορισμένο Αλφάβητο Οι άνθρωποι επιλέγουν συνήθως ένα password, key το οποίο να το θυμούνται εύκολα (ημερομηνία γέννησης, όνομα κ.ο.κ.) Αυτό όμως περιορίζει δραματικά τους πιθανούς συνδυασμούς χαρακτήρων 8
Τύποι επιθέσεων Differential Power Attack Παρατηρώντας σε ένα σύστημα την ενέργεια που καταναλώνει ανά κύκλο, μπορώ υπό προϋποθέσεις να ανακαλύψω το μυστικό κλειδί Στις ελλειπτικές καμπύλες, το κλειδί μπορεί να χρησιμοποιηθεί bit προς bit. Τότε η ένταση ρεύματος που αντιστοιχεί στο 0 είναι η μισή της αντίστοιχης του 1. Άρα μπορώ να βρω ποιο είναι το κλειδί που χρησιμοποιήθηκε 9
DH Επίθεση τύπου Man in the Middle E(K xw, P) E(K vy, P) Alice Eve Bob Alice -> Eve: g x (παρεμβαίνει στα μηνύματα προς τον Bob) Eve -> Bob: g v (προσποιείται πως είναι η Alice) Bob -> Eve: g y (παρεμβαίνει στα μηνύματα προς την Alice) Eve -> Alice: g w (προσποιείται πως είναι ο Bob) Τώρα η Eve γνωρίζει τα κλειδιά της Alice (g xw ) και του Bob (g yv ) 10
Επιθέσεις σε δίκτυα Denial of Service attacks «Πλημμυρίζει» ο επιτιθέμενος το δίκτυο με άχρηστη πληροφορία, καταναλώνοντας έτσι όλο το bandwidth του δικτύου. Έτσι προκύπτει αδυναμία για εξυπηρέτηση τν χρηστών 11
Επιθέσεις σε δίκτυα Port scan attacks Αιτήσεις σε ένα υπολογιστή για εξυπηρέτηση μέσω μιας θύρας. Η απάντηση του υπολογιστή δείχνει ποιος ο ρόλος της θύρας και πως χρησιμοποιείται. Επαναλαμβάνεται η ανίχνευση για όλες τις θύρες. Στο τέλος ο επιτιθέμενος γνωρίζει ποιες θύρες είναι ανοικτές ή ποιες είναι ευάλωτες 12
Επιθέσεις σε δίκτυα Worms Trojans Rootkits Viruses 13
Ηθικά διλλήματα Κάθε πράξη απόκτησης εμπιστευτικής πληροφορίας είναι παραβίαση του προσωπικού απορρήτου Σίγουρα η περιέργεια του ερευνητή είναι μεγάλη αλλά θα πρέπει με μεγάλη προσοχή να δημοσιοποιεί τα αποτελέσματα της έρευνάς του. Πρώτα πρέπει να ενημερώνεται αυτός που διαχειρίζεται το δίκτυο. Η καταστροφή πληροφορίας είναι αδίκημα 14
Σημείωμα Αδειοδότησης Το παρόν υλικό διατίθεται με τους όρους της άδειας χρήσης Creative Commons Αναφορά, Μη Εμπορική Χρήση Παρόμοια Διανομή 4.0 [1] ή μεταγενέστερη, Διεθνής Έκδοση. Εξαιρούνται τα αυτοτελή έργα τρίτων π.χ. φωτογραφίες, διαγράμματα κ.λ.π., τα οποία εμπεριέχονται σε αυτό. Οι όροι χρήσης των έργων τρίτων επεξηγούνται στη διαφάνεια «Επεξήγηση όρων χρήσης έργων τρίτων». Τα έργα για τα οποία έχει ζητηθεί άδεια αναφέρονται στο «Σημείωμα Χρήσης Έργων Τρίτων». [1] http://creativecommons.org/licenses/από-nc-sa/4.0/ Ως Μη Εμπορική ορίζεται η χρήση: που δεν περιλαμβάνει άμεσο ή έμμεσο οικονομικό όφελος από την χρήση του έργου, για το διανομέα του έργου και αδειοδόχο που δεν περιλαμβάνει οικονομική συναλλαγή ως προϋπόθεση για τη χρήση ή πρόσβαση στο έργο που δεν προσπορίζει στο διανομέα του έργου και αδειοδόχο έμμεσο οικονομικό όφελος (π.χ. διαφημίσεις) από την προβολή του έργου σε διαδικτυακό τόπο Ο δικαιούχος μπορεί να παρέχει στον αδειοδόχο ξεχωριστή άδεια να χρησιμοποιεί το έργο για εμπορική χρήση, εφόσον αυτό του ζητηθεί.
Επεξήγηση όρων χρήσης έργων τρίτων διαθέσιμο με άδεια CC-BY διαθέσιμο με άδεια CC-BY-SA διαθέσιμο με άδεια CC-BY-ND διαθέσιμο με άδεια CC-BY-NC διαθέσιμο με άδεια CC-BY-NC-SA διαθέσιμο με άδεια CC-BY-NC-ND διαθέσιμο με άδεια CC0 Public Domain διαθέσιμο ως κοινό κτήμα χωρίς σήμανση Δεν επιτρέπεται η επαναχρησιμοποίηση του έργου, παρά μόνο εάν ζητηθεί εκ νέου άδεια από το δημιουργό. Επιτρέπεται η επαναχρησιμοποίηση του έργου και η δημιουργία παραγώγων αυτού με απλή αναφορά του δημιουργού. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού, και διάθεση του έργου ή του παράγωγου αυτού με την ίδια άδεια. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού. Δεν επιτρέπεται η δημιουργία παραγώγων του έργου. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού. Δεν επιτρέπεται η εμπορική χρήση του έργου. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού και διάθεση του έργου ή του παράγωγου αυτού με την ίδια άδεια. Δεν επιτρέπεται η εμπορική χρήση του έργου. Επιτρέπεται η επαναχρησιμοποίηση του έργου με αναφορά του δημιουργού. Δεν επιτρέπεται η εμπορική χρήση του έργου και η δημιουργία παραγώγων του. Επιτρέπεται η επαναχρησιμοποίηση του έργου, η δημιουργία παραγώγων αυτού και η εμπορική του χρήση, χωρίς αναφορά του δημιουργού. Επιτρέπεται η επαναχρησιμοποίηση του έργου, η δημιουργία παραγώγων αυτού και η εμπορική του χρήση, χωρίς αναφορά του δημιουργού. Συνήθως δεν επιτρέπεται η επαναχρησιμοποίηση του έργου.
Διατήρηση Σημειωμάτων Οποιαδήποτε αναπαραγωγή ή διασκευή του υλικού θα πρέπει να συμπεριλαμβάνει: το Σημείωμα Αναφοράς το Σημείωμα Αδειοδότησης τη δήλωση Διατήρησης Σημειωμάτων το Σημείωμα Χρήσης Έργων Τρίτων (εφόσον υπάρχει) μαζί με τους συνοδευόμενους υπερσυνδέσμους.
Χρηματοδότηση Το παρόν εκπαιδευτικό υλικό έχει αναπτυχθεί στα πλαίσια του εκπαιδευτικού έργου του διδάσκοντα. Το έργο «Ανοικτά Ακαδημαϊκά Μαθήματα στο ΤΕΙ Ιονίων Νήσων» έχει χρηματοδοτήσει μόνο την αναδιαμόρφωση του εκπαιδευτικού υλικού. Το έργο υλοποιείται στο πλαίσιο του Επιχειρησιακού Προγράμματος «Εκπαίδευση και Δια Βίου Μάθηση» και συγχρηματοδοτείται από την Ευρωπαϊκή Ένωση (Ευρωπαϊκό Κοινωνικό Ταμείο) και από εθνικούς πόρους.