Ασφάλεια Υπολογιστών και Προστασία εδοµένων Σηµειώσεις Μαθήµατος Εξαµήνου Κέρκυρα, 2007 Τµήµα Πληροφορικής Ιόνιο Πανεπιστήµιο ιδάσκων: ρ. Εµµανουήλ Μάγκος
Περιεχόµενα 1 Εισαγωγή στην Ασφάλεια Η/Υ...4 1.1 Βασικές Έννοιες...4 1.2 Απειλές, Αδυναµίες και Συνέπειες...8 1.3 Μοντέλο Επιτιθέµενου...14 1.4 Κρίσιµα Ερωτήµατα κατά το Σχεδιασµό της Ασφάλειας...17 1.5 Πολιτικές Ασφάλειας...22 1.6 Λάθη κατά το Σχεδιασµό Ασφάλειας...24 2 Έλεγχος Πρόσβασης & Επαλήθευση Ταυτότητας...30 2.1 Βασικές Έννοιες...30 2.2 Ταυτοποίηση µε Κωδικούς Πρόσβασης...33 2.2.1 Οι Απειλές...34 2.2.2 Σωστή Επιλογή Κωδικών Πρόσβασης...43 2.3 Ταυτοποίηση µε Βιοµετρικές Τεχνικές...47 2.3.1 Βασικές Έννοιες...47 2.3.2 Φυσιολογικά Χαρακτηριστικά...52 2.3.2.1 αχτυλικό Αποτύπωµα (Fingerprint)...52 2.3.2.2 Αναγνώριση Ίριδας (Iris Recognition)...53 2.3.2.3 Αναγνώριση Αµφιβληστροειδούς (Retina)...54 2.3.2.4 Αναγνώριση Προσώπου (Facial Recognition)...55 2.3.2.5 Αναγνώριση Φωνής (Voice Recognition)...56 2.3.2.6 Άλλες Κατηγορίες...59 2.3.3 Συµπεριφοριστικά Χαρακτηριστικά...59 2.3.3.1 Αναγνώριση Υπογραφής...59 2.3.3.2 Άλλες Κατηγορίες Συµπεριφοριστικών Μεθόδων...61 2.3.4 Ασφάλεια και Χρήσεις Συστηµάτων Βιοµετρίας...61 3 Μοντέλα Ελέγχου Προσπέλασης...65 3.1 Βασικές Έννοιες...65 3.2 «Κατά ιάκριση» Μοντέλο DAC...68 3.2.1 ικαιώµατα Πρόσβασης σε Συστήµατα Windows (NTFS)...72 3.2.2 ικαιώµατα Πρόσβασης σε Συστήµατα τύπου Unix...74 3.2.3 Πλεονεκτήµατα και Μειονεκτήµατα του µοντέλου DAC...76 3.3 «Κατ Απαίτηση» Μοντέλο MAC...77 3.3.1 Το Μοντέλο Bell-LaPadula...78 3.3.2 Το Μοντέλο Biba...79 3.4 Εξουσιοδότηση Βασισµένη σε Ρόλους (RBAC)...80 4 Προστασία από Κακόβουλο Λογισµικό...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.1 Κακόβουλο Λογισµικό (Malware)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.1.1 Κατηγοριοποίηση & Παρενέργειες Κακόβουλων Προγραµµάτων Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.1.2 «Κλασσικοί» Ιοί...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.1.3 Σκουλήκια (Worms)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.1.4 ούρειοι Ίπποι (Trojan Horses)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.1.5 Spyware Adware και Hoax...Σφάλµα! εν έχει οριστεί σελιδοδείκτης.
4.1.6 Σύγχρονο Κακόβουλο Λογισµικό...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.2 Μέτρα Αντιµετώπισης...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.2.1 Προγράµµατα Antivirus...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.2.2 Προσωπικά Συστήµατα Firewall...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.2.3 Ανιχνευτές Ευπαθειών (Vulnerability Scanners)... Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.2.4 Συστήµατα Ανίχνευσης Εισβολών (Intrusion Detection Systems) Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 4.2.5 Λήψη Αντιγράφων Ασφάλειας (Backup)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5 Ασφάλεια ικτυωµένου Η/Υ... Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.1 Κινητός Κώδικας (Mobile Code)Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.2 Αρχεία Cookies...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.3 Ασφάλεια Ηλεκτρονικής Αλληλογραφίας (e-mail Security)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.4 Ασφάλεια στο TCP/IP...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.4.1 Ασφάλεια στο Σύστηµα DNS (Domain Name System)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.4.2 Υποκλοπή Πακέτων (Packet Sniffing)...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.4.3 Επιθέσεις Πλαστοπροσωπίας (IP Spoofing).Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.4.4 Επιθέσεις Άρνησης Εξυπηρέτησης...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.5 Μέτρα Προστασίας...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.5.1 To πρωτόκολλο SSL...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.5.2 Το πρότυπο IPSEC...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 5.5.3 ικτυακά Firewalls...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6 Εισαγωγή στην Κρυπτογραφία... Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6.1 Βασικές Έννοιες...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6.2 Υβριδικά Συστήµατα...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6.3 Μονόδροµες Συναρτήσεις Hash (One-way Ηash functions)...σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6.4 Έλεγχος Αυθεντικότητας χρήστη σε συστήµατα ηµόσιου Κλειδιού Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6.4.1 Κώδικες Αυθεντικότητας Μηνύµατος (MAC)... Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 6.5 ιαχείριση Κλειδιού...Σφάλµα! εν έχει οριστεί σελιδοδείκτης. Βιβλιογραφία - ικτυογραφία... Σφάλµα! εν έχει οριστεί σελιδοδείκτης. 3
1 Εισαγωγή στην Ασφάλεια Η/Υ 1.1 Βασικές Έννοιες Στον όρο «Ασφάλεια» µπορούν να αποδοθούν πολλές ερµηνείες, κάθε µία από τις οποίες µπορεί να αποδώσει µε ακρίβεια διαφορετικές καταστάσεις. Σύµφωνα µε τον ορισµό του λεξικού της Οξφόρδης, «ασφάλεια είναι η ελευθερία από τον κίνδυνο ή το φόβο». ιάφοροι άλλοι ορισµοί µπορούν να χρησιµοποιηθούν για να προσδιορίσουν την ασφάλεια όπως (βλ.λεξικό Μπαµπινιώτη): Η κατάσταση στην οποία δεν υπάρχουν κίνδυνοι, όπου αισθάνεται κανείς ότι δεν απειλείται. Η αποτροπή κινδύνου ή απειλής, η εξασφάλιση σιγουριάς και βεβαιότητας. Υπηρεσία της Αστυνοµίας. Ηλεκτρική διάταξη που αποτρέπει πιθανά ατυχήµατα. Μηχανισµός στην πόρτα αυτοκινήτου. Συµφωνία µεταξύ ασφαλιστικής εταιρείας και πελάτη. Ιατροφαρµακευτική περίθαλψη. Από µία πρακτική άποψη, η ασφάλεια µπορεί να έγκειται στην επαρκή προστασία ανθρώπων και αγαθών, για την οποία µπορεί να λαµβάνονται διάφορα µέτρα προστασίας από πιθανούς κινδύνους. Για παράδειγµα, η φυσική ασφάλεια ενός κτηρίου έγκειται στην αποτροπή εισόδου κακόβουλων ατόµων και στην αποτροπή ζηµιών από φυσικές καταστροφές. Αντίστοιχα, η ασφάλεια µίας ηλεκτρονικής βάσης δεδοµένων έγκειται στην προστασία των δεδοµένων από καταστροφή, διαγραφή, αλλοίωση ή αποκάλυψη σε µη εξουσιοδοτηµένους χρήστες. Η Ασφάλεια Τεχνολογίας Πληροφορίας και Επικοινωνιών ασφάλεια ΤΠΕ (Information and Communication Technology Security ICT Security) περιλαµβάνει την ασφάλεια: 1. Των υπολογιστικών συστηµάτων και εφαρµογών, δηλαδή την προστασία από µη εξουσιοδοτηµένες ενέργειες όπως αλλαγή δικαιωµάτων πρόσβασης, κακόβουλη εκτέλεση εντολών, τροποποίηση της διάρθρωσης του συστήµατος, κακόβουλη ή λανθασµένη χρήση, διακοπή λειτουργίας, καθώς και τη φυσική προστασία των υπολογιστικών συστηµάτων. 2. Των δικτύων και των υποδοµών, δηλαδή την προστασία από µη εξουσιοδοτηµένη λογική πρόσβαση σε ένα δίκτυο, παράκαµψη ή τροποποίηση των κανόνων δροµολόγησης στο δίκτυο, παρακολούθηση του µέσου επικοινωνίας, διακοπή της επικοινωνίας, φυσική προστασία των υποδοµών επικοινωνίας κτλ. 3. Των πληροφοριών, δηλαδή την προστασία των δεδοµένων ως προς την εµπιστευτικότητα, την ακεραιότητα και τη διαθεσιµότητά τους. 4
Το παρακάτω σχήµα επεξηγεί τη σχέση των διαφόρων τµηµάτων της Ασφάλειας Τεχνολογίας Πληροφορίας και Επικοινωνιών. Ασφάλεια ΤΠΕ ΑΣΦΑΛΕΙΑ ΤΠΕ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΑΣΦΑΛΕΙΑ ΙΚΤΥΩΝ ΚΑΙ ΥΠΟ ΟΜΩΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΥΘΕΝΤΙΚΟΤΗΤΑ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΙΑΘΕΣΙΜΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΙΑΘΕΣΙΜΟΤΗΤΑ Η επιστήµη της Ασφάλειας Υπολογιστών σχετίζεται µε ένα πλήθος γνωστικών αντικειµένων, θεωριών και τεχνολογιών που σκοπό έχουν: Την πρόληψη, ανίχνευση και αντιµετώπιση µη εξουσιοδοτηµένων πράξεων, οι οποίες σχετίζονται µε τη χρήση υπολογιστικών συστηµάτων Ο ρόλος του Η/Υ κατά την εκτέλεση των µη εξουσιοδοτηµένων πράξεων συνήθως είναι διττός: 1. Αποτελεί βασικό εργαλείο (αλλά όχι πάντα αποκλειστικό) για την τέλεση τους, 2. Ο ίδιος ο Η/Υ (και συγκεκριµένα τα δεδοµένα ή/και οι πληροφορίες που περιέχονται ή δηµιουργούνται σε αυτόν) αποτελεί στόχο των πράξεων αυτών. Οι µη εξουσιοδοτηµένες πράξεις, ανάλογα µε τις συνέπειες τους µπορούν να αποτελούν ή όχι ένα Ηλεκτρονικό Έγκληµα (e-crime, computer crime). Οι [Forester and Morrison, 1994] ορίζουν το Ηλεκτρονικό Έγκληµα ως: «Μία εγκληµατική πράξη κατά την τέλεση της οποίας ο Η/Υ αποτελεί το βασικό εργαλείο» Η Ασφάλεια Υπολογιστών χρησιµοποιεί (χωρίς να περιορίζεται από) τη γνώση που πηγάζει από τη µελέτη αρκετών γνωστικών χώρων, όχι απαραίτητα αλληλοσυσχετιζόµενων, όπως Πληροφορική, Κρυπτογραφία και Κοινωνικές Επιστήµες. Συγκεκριµένα: 5
Πληροφορική Ανάπτυξη λογισµικού. Η γνώση βασικών τεχνικών προγραµµατισµού κρίνεται απαραίτητη για την αντιµετώπιση των «εχθρών» του συστήµατος (hackers, crackers κ.λ.π) οι οποίοι παράγουν κακόβουλο κώδικα µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση στους πόρους του συστήµατος ή εκµεταλλεύονται λάθη στον κώδικα των εφαρµογών του χρήστη-συστήµατος. ιαχείριση ικτύων-internet & Τεχνολογίες Υλικού. Η κατανόηση των ηλεκτρονικών διατάξεων, των δικτυακών υποδοµών, καθώς και των υπηρεσιών που τις χρησιµοποιούν (λογισµικό δικτύου, δικτυακές εφαρµογές και υπηρεσίες Internet, αρχιτεκτονικές πρωτόκολλων, κ.λ.π). Κρυπτογραφία Η επιστήµη που ασχολείται µε την προστασία της εµπιστευτικότητας, της αυθεντικότητας και της ακεραιότητας των δεδοµένων και πληροφοριών κατά την αποθήκευση ή/και µεταφορά τους µεταξύ υπολογιστικών διατάξεων. Η κρυπτογραφία χρησιµοποιεί (χωρίς να περιορίζεται από) στοιχεία θεωρίας πληροφοριών (Information theory), µαθηµατικά µοντέλα και στοιχεία θεωρίας γραµµικής άλγεβρας (linear algebra), θεωρίας αριθµών (number theory) κ.α., για το σχεδιασµό τεχνικών προστασίας των δεδοµένων. Κοινωνικές Επιστήµες ιοίκηση Ανθρώπινων Πόρων & Ψυχολογία. Η ασφάλεια αξιοποιεί βασικές γνώσεις της θεωρίας της ψυχολογίας (π.χ. προφίλ επιτιθέµενου & αµυνόµενου). ίκαιο και Ηθική του Κυβερνοχώρου Η νοµοθεσία αποτελεί ίσως το σηµαντικότερο µη τεχνικό (non-technical) µέσο για την πρόληψη επιθέσεων στην ασφάλεια Η/Υ. Ωστόσο, ζητήµατα όπως η ανωνυµία των χρηστών, η ελευθερία έκφρασης και η προστασία των πνευµατικών δικαιωµάτων σχετίζονται σε µεγάλο βαθµό και µε την αποκαλούµενη ως Ηθική του Κυβερνοχώρου (Cyber Ethics). Ιστορία Η µελέτη των γεγονότων (στα στρατιωτικά και διπλωµατικά µέτωπα) κατά τους Α και Β Παγκόσµιους πολέµους (κώδικες, επιθέσεις σε συστήµατα κρυπτογράφησης επικοινωνιών) καθώς και η γνώση που απορρέει από τη µελέτη περιπτώσεων παραβίασης συστηµάτων Η/Υ και επικοινωνιών από τα µέσα της δεκαετίας του 1980 και µετά (δηµιουργία και εξάπλωση κακόβουλου λογισµικού βλέπε Ενότητα 4). Ασφάλεια γιατί τη χρειαζόµαστε Τα τελευταία χρόνια, και κυρίως λόγω της άνθησης και εξάπλωσης των τεχνολογιών και υπηρεσιών Web, οι πληροφοριακοί κίνδυνοι κατά της ασφάλειας Η/Υ και δικτύων είναι πολυάριθµοι. Μια (όχι πλήρης) λίστα από παραδείγµατα: 6
Κακόβουλο Λογισµικό, π.χ. Ιοί (Viruses), Σκουλήκια (Worms), ούρειοι Ίπποι (Trojan Horses), Spyware, Adware, µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση στους πόρους ενός Η/Υ. Μη εξουσιοδοτηµένη εισβολή σε υπολογιστικά-πληροφοριακά συστήµατα (Hacking). Χρήση κακόβουλου λογισµικού ή/και τεχνικών Κοινωνικής Μηχανικής (Social Engineering) µε σκοπό την εκµετάλλευση των αδυναµιών και την πρόσβαση στους πόρους του συστήµατος Επιθέσεις Άρνησης Εξυπηρέτησης (Denial Of Service). ιακοπή ή υποβάθµιση των παρεχοµένων υπηρεσιών ενός συστήµατος. Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading). Χρήση «πλαστής» ταυτότητας µε σκοπό τη µη ανίχνευση του επιτιθέµενου, ή/και την παράκαµψη των τεχνικών ελέγχου πρόσβασης του συστήµατος. Υποκλοπές Επικοινωνιών - Αλλοίωση δεδοµένων. Επιθέσεις στην εµπιστευτικότητα (confidentiality) και ακεραιότητα (integrity) των δεδοµένωνπληροφοριών που είναι αποθηκευµένες ή ανταλλάσσονται µεταξύ δύο ηλεκτρονικών διατάξεων. Μη ζητηθείσα επικοινωνία (spam). Μηνύµατα ηλεκτρονική αλληλογραφίας που αποστέλλονται χωρίς τη συγκατάθεση του παραλήπτη, ενώ συχνά η ταυτότητα του αποστολέα είναι πλαστογραφηµένη ή απλά αδύνατον να εντοπιστεί. Παραβίαση δικαιωµάτων πνευµατικής ιδιοκτησίας. Αντιγραφή, αναπαραγωγή, παραποίηση ή/και αναδιανοµή δεδοµένων-πληροφοριών που προστατεύονται από τους νόµους περί πνευµατικής ιδιοκτησίας, χωρίς τη συγκατάθεση του δηµιουργού τους. 9 7
1.2 Απειλές, Αδυναµίες και Συνέπειες Απαραίτητη προυπόθεση για το σχεδιασµό-διαχείριση της ασφάλειας ενός συστήµατος είναι η καταγραφή των απειλών και των αδυναµιών του συστήµατος. Έπειτα αναζητούνται και εφαρµόζονται τα κατάλληλα µέτρα προστασίας. Στην ενότητα αυτή παρατίθενται και επεξηγούνται οι όροι που σχετίζονται µε την παραπάνω διαδικασία. Πληροφοριακός Πόρος ή Αγαθό (Asset). Κάθε αντικείµενο ή πόρος που ανήκει ή υποστηρίζει ένα πληροφοριακό σύστηµα και το οποίο αξίζει να προστατευθεί. Υπάρχουν διάφορες κατηγορίες αγαθών, όπως: - Φυσικά Αγαθά (Physical Assets): Κτήρια, Υπολογιστές, ικτυακή Υποδοµή, Έπιπλα, κτλ - Αγαθά εδοµένων (Data Assets): Αρχεία (ηλεκτρονικά, έντυπα) - Αγαθά Λογισµικού (Software Assets): Λογισµικό Εφαρµογών, Λειτουργικά Συστήµατα, κτλ. Συνέπεια ή Αξία Αγαθού (Impact or Value). Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού. Αυτή µπορεί να µετρηθεί ως: Άµεση Οικονοµική Συνέπεια, δηλαδή το κόστος που απαιτείται για την επαναγορά του αγαθού ή για την συλλογή, επαναδηµιουργία ή συντήρηση. Έµµεση συνέπεια, δηλαδή το µη µετρήσιµο κόστος που θα µπορούσε να προκληθεί από την προσβολή του αγαθού. Παραδείγµατα έµµεσης συνέπειας είναι: - Συνέπειες υσφήµησης και Απώλειας Καλής Πίστης: Είναι η απώλεια που θα προκαλέσει σε έναν οργανισµό µία επιτυχηµένη επίθεση ασφάλειας, λόγω της δυσφήµησης και της απώλειας καλής πίστης που θα προκαλέσει. Για παράδειγµα, µία επιτυχηµένη επίθεση στο δίκτυο µίας τράπεζας θα αποτρέψει πολλούς πελάτες από τη χρήση υπηρεσιών ηλεκτρονικής τραπεζικής και άρα θα έχει συνέπειες στα έσοδα αυτής της υπηρεσίας. - Νοµικές Συνέπειες: Είναι η απώλεια που θα προκαλέσει σε έναν οργανισµό µία επιτυχηµένη επίθεση ασφάλειας λόγω αδυναµίας συµµόρφωσης µε νοµικές υποχρεώσεις. Για παράδειγµα, σε περίπτωση που κάποιο νοσηλευτικό ίδρυµα δεν λαµβάνει τα αναγκαία µέτρα για την προστασία των δεδοµένων ασθενών και εξαιτίας ελλιπών µέτρων διαρρεύσουν δεδοµένα υγείας ενός ασθενούς, τότε ενδέχεται να υπάρξουν πρόστιµα λόγω παραβίασης της νοµοθεσίας περί προστασίας προσωπικών δεδοµένων. - Συνέπειες ιακοπής ή Παρεµπόδισης Λειτουργίας: Είναι το κόστος που προκαλείται λόγω της προσωρινής διακοπής ή παρεµπόδισης λειτουργίας. Για παράδειγµα, εάν το δίκτυο ενός τηλεπικοινωνιακού παρόχου υποστεί µία επιτυχηµένη επίθεση άρνησης εξυπηρέτησης (Denial-of-Service attack) και δεν λειτουργεί κανονικά για ορισµένο χρονικό διάστηµα, τότε θα υπάρξουν απώλειες από τη µη χρήση της υπηρεσίας για το χρονικό αυτό διάστηµα (χαµένες κλήσεις sms, κτλ). 8
- Κοινωνικές Συνέπειες: Αυτές αφορούν τις απώλειες που θα προκληθούν στο κοινωνικό σύνολο από µία επιτυχηµένη επίθεση στις ΤΠΕ ενός οργανισµού. Για παράδειγµα, σε περίπτωση που το σύστηµα συλλογής κλήσεων άµεσης δράσης της Αστυνοµίας υποστεί επίθεση και δεν λειτουργεί, θα υπάρξουν συνέπειες στο κοινωνικό σύνολο από την αδυναµία κλήσεως της Αρχής για αυτό το χρονικό διάστηµα. Σηµειώνεται ότι σε πολλές περιπτώσεις µία επιτυχηµένη επίθεση ασφάλειας µπορεί να έχει περισσότερες από µία άµεσες ή έµµεσες συνέπειες σε ένα αγαθό. Σε αυτή την περίπτωση η συνέπεια θα εκτιµηθεί µε βάση την µεγαλύτερη συνέπεια της συγκεκριµένης επίθεσης. Απειλή (Threat). Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό. Μία απειλή µπορεί να προκληθεί από τυχαία ή εσκεµµένα γεγονότα. Παραδείγµατα απειλών είναι: Περιβαλλοντικές απειλές: Φωτιά, σεισµός, πληµµύρα, καταιγίδα, καύσωνας, κεραυνός, προβλήµατα κλιµατισµού, προβλήµατα ηλεκτρισµού κτλ Σκόπιµες ανθρώπινες απειλές: πλαστοπροσωπία, εύρεση κωδικού, εκµετάλλευση αδυναµιών δικτύου, λογισµικού, λειτουργικού συστήµατος, κακή χρήση των πόρων, µη εξουσιοδοτηµένη πρόσβαση, κλοπή, απάτη, βανδαλισµός, εµπρησµός κτλ Μη σκόπιµες ανθρώπινες απειλές: Λανθασµένη χρήση συστήµατος, προγραµµατιστικά λάθη, µη σκόπιµη αποκάλυψη δεδοµένων, µη σκόπιµη καταστροφή εξοπλισµού κτλ. Οι απειλές στην ασφάλεια του συστήµατος διακρίνονται σε Εξωτερικές (δηλαδή απειλές που προέρχονται από το εξωτερικό περιβάλλον π.χ. εκτός του Οργανισµού/Επιχείρησης) και σε Εσωτερικές (δηλαδή απειλές που προέρχονται από το εσωτερικό περιβάλλον π.χ. εντός του Οργανισµού/Επιχείρησης). 1. Εξωτερικές απειλές. Γεγονότα, καταστάσεις ή οντότητες που δρουν ή εκτυλίσσονται στο εξωτερικό περιβάλλον απειλούν την ασφάλεια του συστήµατος. Εξωτερικοί Εισβολείς (outsiders): Hackers / Crackers / Vandals / Hacktivists, Πραγµατοποίηση Επιθέσεων όπως: o Footprinting Εύρεση στοιχείων για την επιχείρηση π.χ. µπλοκ IP διευθύνσεων, e-mail διευθύνσεις, τοπολογία δικτύου, ονόµατα υπολογιστών, διάρθρωση της επιχείρησης κ.λ.π o Scanning & enumerating - Εύρεση υπηρεσιών, προγραµµάτων εφαρµογών και πρωτοκόλλων που υλοποιούν/εκτελεί ο υπολογιστής-στόχος, o Hacking - Παράκαµψη του µηχανισµού ασφάλειας µε σκοπό τη µη εξουσιοδοτηµένη πρόσβαση σε κάποιο αγαθό του συστήµατος). 9
Κακόβουλο λογισµικό: Ιοί (Viruses), Σκουλήκια (Worms), ούρειοι Ίπποι (Trojan Horses), λογισµικό spyware/adware κ.λ.π. Κοινωνικοί Μηχανικοί (Social Engineers): Εξωτερικοί χρήστες που εκµεταλλεύονται τον ανθρώπινο παράγοντα για να παρακάµψουν έναν µηχανισµό ασφάλειας και να αποκτήσουν µη εξουσιοδοτηµένη πρόσβαση στο σύστηµα. 2. Εσωτερικές Απειλές. ηλαδή, «νόµιµοι» χρήστες του συστήµατος οι οποίοι προσπαθούν να αποκτήσουν µη εξουσιοδοτηµένη πρόσβαση σε πόρους του συστήµατος. - Χρήστες της Επιχείρησης/Οργανισµού που παρακάµπτουν τις διαδικασίες ελέγχου για την πρόσβαση σε διαβαθµισµένα δεδοµένα/πληροφορίες. - Χρήστες που αποκτούν πρόσβαση σε λογαριασµούς χρηστών µε περισσότερα δικαιώµατα σε σχέση µε τα δικαιώµατα που ήδη έχουν. Αδυναµία (Vulnerability). Οποιοδήποτε χαρακτηριστικό κάνει ευάλωτο ένα αγαθό σε κάποια απειλή. Για παράδειγµα, εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται επαρκώς, το αρχείο έχει µεγάλη αδυναµία στην απειλή της κλοπής. Όσο µεγαλύτερη είναι η αδυναµία ενός αγαθού σε µία απειλή, τόσο µεγαλύτερες θα είναι οι συνέπειες στο αγαθό σε περίπτωση που εκδηλωθεί η απειλή αυτή. Οι αδυναµίες µπορεί είτε να είναι «εγγενείς» (π.χ. υπερχείλιση καταχωρητή «κακή» διαχείριση της µνήµης από µια εφαρµογή ή το Λ.Σ.), ή να δηµιουργούνται από κακή χρήση-διαχείριση του συστήµατος (π.χ. λάθος ορισµός των «δικαιωµάτων» - permissions σε ένα αρχείο). 18 Επιθέσεις (attacks) Μια εξωτερική (ή εσωτερική) απειλή εκµεταλλεύεται µια ή περισσότερες αδυναµίες και εξαπολύει µια επίθεση που έχει ως συνέπεια την παραβίαση της 10
εµπιστευτικότητας, της αυθεντικότητας, της ακεραιότητας ή της διαθεσιµότητας του συστήµατος. Τυχαίες και Εσκεµµένες Επιθέσεις. Οι επιθέσεις που πραγµατοποιούνται µπορεί να είναι: - Τυχαίες - π.χ. λάθη, αµέλεια, φωτιά, διακοπή ρεύµατος.. - Εσκεµµένες π.χ. hackers, crackers, vandals,.. Ένα σύστηµα αποτελείται από διατάξεις υλικού (Υλικό), εφαρµογές λογισµικού (Λογισµικό), εδοµένα, Γραµµές Επικοινωνίας, καθώς και ανθρώπους που τα διαχειρίζονται-χρησιµοποιούν. Σε χαµηλό επίπεδο, εκτός από τις προηγούµενες γενικές κατατάξεις, οι επιθέσεις στην Ασφάλεια Η/Υ µπορούν επίσης να κατηγοριοποιηθούν ανάλογα µε το είδος της συνέπειας που επιφέρουν, καθώς και ανάλογα µε τον τύπο του αγαθού που επηρεάζουν. Έτσι, οι επιθέσεις διακρίνονται σε: Επιθέσεις Υποκλοπής (Interception) - Μία µη εξουσιοδοτηµένη οντότητα αποκτά πρόσβαση σε ένα αγαθό. Οι επιθέσεις Υποκλοπής µπορεί να έχουν ως στόχο το Υλικό (π.χ. εξαγωγή κλειδιώνκωδικών από κάρτες), τα εδοµένα (π.χ. επιθέσεις sniffing, µη εξουσιοδοτηµένη ανάγνωση ή αντιγραφή εγγράφων/φακέλων, αρχείων κωδικών (password files), υποκλοπή αριθµών πιστωτικών καρτών, κωδικών PIN, κωδικών password κατά τη µεταφορά τους στο δίκτυο), το Λογισµικό (π.χ. µη εξουσιοδοτηµένη πρόσβαση στον κώδικα των προγραµµάτων, µη εξουσιοδοτηµένη αντιγραφή προγραµµάτων) ή τις Γραµµές Επικοινωνίας του συστήµατος (π.χ. επιθέσεις ανάλυσης κίνησης -traffic analysis). Ουσιαστικά αποτελούν επιθέσεις κατά της Εµπιστευτικότητας (Confidentiality) του Συστήµατος. Επιθέσεις ιακοπής (Interruption) - Ένα αγαθό χάνεται, γίνεται µη διαθέσιµο, ή τίθεται εν αχρηστία. Για παράδειγµα, διαγραφή αρχείων, δεδοµένων και πληροφοριών, επιθέσεις άρνησης εξυπηρέτησης (DOS attacks) κ.λ.π Οι επιθέσεις ιακοπής µπορεί να έχουν ως στόχο το Υλικό (ζηµιά, βλάβες, διακοπή ρεύµατος, επιθέσεις άρνησης εξυπηρέτησης σε ηλεκτρονικές διατάξεις), το Λογισµικό (διαγραφή ή αναστολή της εκτέλεσης προγράµµατος ή του Λ.Σ.), τα εδοµένα (π.χ. διαγραφή ή απώλεια δεδοµένων, επιθέσεις στο Σύστηµα Αρχείων file system) ή τις Γραµµές Επικοινωνίας (π.χ. βλάβη/επίθεση στους δροµολογητές ή στο µέσο µετάδοσης µε σκοπό τη διακοπή της επικοινωνίας). Ουσιαστικά αποτελούν επιθέσεις κατά της ιαθεσιµότητας (Availability) του Συστήµατος. Επιθέσεις Αλλοίωσης (Modification) - Μία οντότητα αποκτά µη εξουσιοδοτηµένη πρόσβαση µε σκοπό την αλλοίωση-τροποποίηση των περιεχοµένων ενός αγαθού. 11
Οι επιθέσεις Αλλοίωσης µπορεί να έχουν ως στόχο το Υλικό (π.χ. φθορά ή επιθέσεις σε ηλεκτρονικές διατάξεις µε σκοπό την παράκαµψη µηχανισµών ασφάλειας π.χ. αλλαγή των δεδοµένων που καταγράφονται σε τακογράφους, αλλαγή στα κυκλώµατα των αποκωδικοποιητών συνδροµητικού περιεχοµένου κ.λ.π), το Λογισµικό (π.χ. αλλοίωση του κώδικα του προγράµµατος), ή τα εδοµένα του Συστήµατος (αλλοίωση των περιεχοµένων ενός αρχείου, των εγγραφών σε µια Β, αλλοίωση του ποσού πληρωµής σε µια συναλλαγή Ηλ/ Εµπορίου κλπ. Ουσιαστικά αποτελούν επιθέσεις κατά της Ακεραιότητας (Integrity) του Συστήµατος. Επιθέσεις Εισαγωγής (Fabrication) - Ένα (µη αυθεντικό) αντικείµενο ή υποκείµενο εισέρχεται στο σύστηµα. Οι επιθέσεις Πλαστοπροσωπίας (Spoofing), παραπλανητικής αλληλογραφίας (Phishing), Ενδιάµεσης Οντότητας (Man in the Middle), καθώς και οι επιθέσεις Επανάληψης (replay attacks) αποτελούν υποπεριπτώσεις αυτής της κατηγορίας επιθέσεων. 20 Κατηγοριοποίηση επιθέσεων Υποκλοπή (Interception) Μία µη εξουσιοδοτηµένη οντότητα αποκτά πρόσβαση σε ένα αγαθό ιακοπή (Interruption) Ένα αγαθό χάνεται, γίνεται µη διαθέσιµο, ή τίθεται εν αχρηστία Αλλοίωση (Modification) Μία µη εξουσιοδοτηµένη οντότητα όχι µόνο αποκτά πρόσβαση αλλά σε ένα αγαθό, αλλά επιπλέον το αλλοιώνει-τροποποιεί Εισαγωγή (Fabrication) Ένα (µη αυθεντικό) αντικείµενο εισέρχεται στο σύστηµα Οι επιθέσεις Εισαγωγής µπορεί να έχουν ως στόχο το Υλικό (π.χ. αντικατάσταση ηλεκτρονικής διάταξης), το Λογισµικό (π.χ. αντικατάσταση του νοµίµου προγράµµατος µε κάποιο άλλο, συνήθως κακόβουλο πρόγραµµα), τα εδοµένα ή τους Ανθρώπους του συστήµατος (π.χ. επιθέσεις πλαστοπροσωπίας, IP/DNS spoofing, πλαστά πιστοποιητικά δηµόσιου κλειδιού, Phishing, επιθέσεις Ενδιάµεσης Οντότητας κλπ). Αποτελούν επιθέσεις κατά της Ακεραιότητας (Integrity) και της Αυθεντικότητας του Συστήµατος. Σηµείωση: Οι επιθέσεις Κοινωνικής Μηχανικής έχουν ως αρχικό στόχο τους ανθρώπους-µέλη του συστήµατος, µε απώτερο όµως σκοπό την πραγµατοποίηση µιας εκ των ως άνω επιθέσεων. 12
Οι επιθέσεις κατά του Συστήµατος µπορούν επίσης να κατηγοριοποιηθούν σε Παθητικές και Ενεργητικές: Παθητικές (Passive): Επιθέσεις υποκλοπής κατά τις οποίες ο «εχθρός» αποκτά µη εξουσιοδοτηµένη πρόσβαση σε κάποιο αγαθό του συστήµατος. Αναφέρονται ως παθητικές επειδή ο «εχθρός» υποκλέπτει (και µόνον) το αγαθό χωρίς να τροποποιεί, να διαγράφει ή να εισάγει δεδοµένα που διακινούνται στο σύστηµα. Ενεργητικές (Active): Ο εχθρός έχει τη δυνατότητα να εξαπολύσει επιθέσεις ιακοπής, Αλλοίωσης, ή Εισαγωγής. Οι ενεργητικές επιθέσεις θεωρούνται οι πλέον δύσκολες ως προς την αντιµετώπιση τους. Απαιτήσεις Ασφάλειας Ποιες είναι οι απαιτήσεις ασφάλειας που πρέπει να ικανοποιούνται σε ένα σύστηµα; Μια διαδεδοµένη κατηγοριοποίηση περιλαµβάνει τα εξής: Ιδιωτικότητα (Privacy). Η ιδιωτικότητα θεωρείται ένας αρκετά γενικός όρος. Στη βιβλιογραφία συναντάµε δύο επιπλέον έννοιες που σχετίζονται µε την ιδιωτικότητα: - Ανωνυµία (Anonymity): Απόκρυψη της ταυτότητας µιας οντότητας (υποκείµενο, πρόγραµµα, ηλεκτρονική διάταξη) που συµµετέχει σε µια συναλλαγή. - Εµπιστευτικότητα / Μυστικότητα (Confidentiality, Secrecy). Το περιεχόµενο των αποθηκευµένων ή µεταφερόµενων δεδοµένων προστατεύεται από µη εξουσιοδοτηµένη ανάγνωση-αντιγραφή (επιθέσεις υποκλοπής). Αυθεντικότητα (Authenticity, Authentication). Στη βιβλιογραφία, ο όρος συχνά σχετίζεται µε τις ακόλουθες έννοιες: - Ταυτοποίηση (Identification) ή Αυθεντικοποίηση Οντότητας (Entity Authentication): Με την ταυτοποίηση δίνεται απάντηση στο ερώτηµα «Ποιος είναι αυτός που θέλει να αποκτήσει πρόσβαση;» - Αυθεντικοποίηση Προέλευσης Μηνύµατος (Data Origin Authentication): ίνεται απάντηση στο ερώτηµα: «Ποιος έστειλε αυτό το µήνυµα;» - Εξουσιοδότηση (Authorization) ή Έλεγχος Προσπέλασης: Τα µοντέλα εξουσιοδότησης δίνουν απάντηση στο ερώτηµα «Τι µπορεί να κάνει αυτός που απέκτησε πρόσβαση;» - Μη αποποίηση Ευθύνης (Non-Repudiation): ίνεται (αρνητική) απάντηση στο ερώτηµα: «Μπορεί ο χρήστης Α να αρνηθεί ότι πραγµατοποίησε τη συναλλαγή;» Η απαίτηση της «µη αποποίησης Ευθύνης» βρίσκει σηµαντική εφαρµογή σε εφαρµογές Ηλεκτρονικού Εµπορίου. Παράδειγµα: Μπορεί ένα από τα συµβαλλόµενα µέρη σε µια ηλεκτρονική συναλλαγή, να αρνηθεί τη συναλλαγή; 13
Ακεραιότητα (Integrity). Προστασία των αγαθών του συστήµατος από µη εξουσιοδοτηµένη τροποποίηση-αλλοίωση. Στη βιβλιογραφία, ο όρος συχνά σχετίζεται-ταυτίζεται µε την ιδιότητα της Αυθεντικότητας. Σηµείωση: Εάν ένα µήνυµα, κατά την µεταφορά του, τροποποιηθεί π.χ. εσκεµµένα από κάποιον τρίτο, τότε το µήνυµα, εκτός από την ακεραιότητα, χάνει επίσης την αυθεντικότητα του. ιαθεσιµότητα (Availability). Εξασφάλιση της συνεχούς και αδιάλειπτης πρόσβασης στα [δεδοµένα / πληροφορίες / προγράµµατα / υπηρεσίες / υλικό] του συστήµατος. 1.3 Μοντέλο Επιτιθέµενου Πρωταρχικό ρόλο κατά το σχεδιασµό της ασφάλειας ενός συστήµατος είναι ο εντοπισµός των απειλών (εσωτερικών ή εξωτερικών). Το µοντέλο των απειλών αντανακλάται στην Πολιτική Ασφαλείας (Security Policy) που σχεδιάζεται, δηµοσιεύεται και υλοποιείται µε σκοπό την προστασία των αγαθών µιας επιχείρησης. Σε αυτήν τη διαδικασία, µεγάλο ενδιαφέρον παρουσιάζει το «προφίλ» του δυνητικού εισβολέα. Το προφίλ αυτό βρίσκεται σε άµεση συνάρτηση µε την σηµασία των αγαθών του συστήµατος που επιθυµούµε να προστατεύσουµε. Όσο µεγαλύτερη αξία έχουν τα αγαθά υπό προστασία, τόσο πιο έξυπνες και στοχευµένες θα είναι οι επιθέσεις που αναµένεται να εξαπολύσει ο δυνητικός εισβολέας. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 29 A. Ποιο είναι το µοντέλο του επιτιθέµενου; (Attacker model) 1. Derek is a 19-year old. He's looking for a low-risk opportunity to steal something like a video recorder which he can sell. 2. Charlie is a 40-year old inadequate with seven convictions for burglary. He's spent seventeen of the last twenty-ve years in prison. Although not very intelligent he is cunning and experienced; he has picked up a lot of `lore' during his spells inside. He steals from small shops and prosperous looking suburban houses, and takes whatever he thinks he can sell to local fences. Ross Anderson, Security Engineering, 2001 Το µοντέλο του επιτιθέµενου περιγράφεται από τον [Anderson 2001] ως άνω. Τα προφίλ των χρηστών Derek, Charlie, Bruno και Abdurrahman αντανακλούν και τις δυνατότητες του δυνητικού εισβολέα. 14
Σηµείωση: Ένα σύνηθες λάθος κατά το σχεδιασµό της Ασφάλειας του συστήµατος είναι όταν τα αγαθά του συστήµατος διαφυλάσσονται έναντι του Charlie, ωστόσο µπορεί να προσελκύουν το ενδιαφέρον του Bruno ή του Abdurrachman. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 30 A. Ποιο είναι το µοντέλο του επιτιθέµενου; (Attacker model) 3. Bruno is a `gentleman criminal'. His business is mostly stealing art. As a cover, he runs a small art gallery. He has a (forged) university degree in art history on the wall, and one conviction for robbery eighteen years ago. After two years in jail, he changed his name and moved to a different part of the country. He has done occasional `black bag' jobs for intelligence agencies who know his past. He'd like to get into computer crime, but the most he's done so far is stripping $100,000 worth of memory chips from a university's PCs back in the mid-1990s time when there was a memory famine. Ross Anderson, Security Engineering, 2001 Ερασιτέχνες Εισβολείς (Amateurs) Η κατηγορία του ερασιτέχνη hacker, αντιστοιχεί στον Derek, σύµφωνα µε το µοντέλο του [Anderson 2001]. Οι ερασιτέχνες εισβολείς (amateurs) συνήθως διαθέτουν επαρκείς γνώσεις προγραµµατισµού και δικτύων Η/Υ, ωστόσο είναι ικανοί να εντοπίσουν (τυχαία ή εσκεµµένα) µια αδυναµία στο σύστηµα και να την εκµεταλλευτούν. Συνήθως χρησιµοποιούν έτοιµα εργαλεία-προγράµµατα που έχουν δηµιουργηθεί από (elite) hackers (π.χ. εργαλεία port scanning, sniffing, toolkits κατασκευής ιών, σκουληκιών και trojans, προγράµµατα παραβίασης προγραµµάτων - cracking, κ.λ.π). Οι ερασιτέχνες εισβολείς επιτίθενται ορµώµενοι είτε από περιέργεια (π.χ. «τι µπορώ να κάνω µε αυτό το εργαλείο;») είτε από τη διάθεση για µάθηση. Χαρακτηριστικό παράδειγµα επίσης αποτελεί και η κατηγορία δυσαρεστηµένων υπαλλήλων (εσωτερικοί εχθροί insiders) που εκµεταλλεύονται µια ευπάθεια του συστήµατος. Εισβολείς (Hackers, Crackers) Ο όρος Hacker, στενά συνδεδεµένος µε την έννοια της παραβίασης συστηµάτων, χρησιµοποιείται συχνά για να συµπεριλάβει όλα τα είδη των (κακόβουλων και µη) εξωτερικών εισβολέων. Στο µοντέλο απειλών που µελετούµε, ο όρος hacker αναφέρεται σε άρτιους γνώστες (διαδικτυακού) προγραµµατισµού, δικτύων Η/Υ, αρχιτεκτονικών πρωτοκόλλων και υπηρεσιών του Internet, που εισβάλουν σε υπολογιστικά και πληροφοριακά συστήµατα κυρίως οδηγούµενοι από περιέργεια και (σπάνια) για προσωπικό (όχι απαραίτητα οικονοµικό) κέρδος. Συνήθως αναπτύσσουν 15
οι ίδιοι τα εργαλεία που χρησιµοποιούν (επιστρατεύοντας, εκτός των άλλων, γλώσσες προγραµµατισµού χαµηλού επιπέδου). Κατά κανόνα λειτουργούν στα πλαίσια µιας αυστηρής ιεραρχίας, ανήκουν σε οµάδες ακτιβιστικού χαρακτήρα, ισχυριζόµενοι ότι έχουν ως στόχο την ελεύθερη διακίνηση ιδεών και προγραµµάτων. Η κατηγορία του hacker, αντιστοιχεί µε τον χρήστη Charlie στο µοντέλο του [Anderson 2001]. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 31 A. Ποιο είναι το µοντέλο του επιτιθέµενου; (Attacker model) 4. Abdurrahman heads a cell of a dozen militants, most with military training. They have infantry weapons and explosives, with PhD-grade technical support provided by a disreputable country. Abdurrahman himself came third out of a class of 280 at the military academy of that country but was not promoted because he's from the wrong ethnic group. He thinks of himself as a good man rather than a bad man. His mission is to steal plutonium.. Τελικά: Το σύστηµα µας θα είναι ασφαλές έναντι τίνος µοντέλου; Ross Anderson, Security Engineering, 2001 Στο µοντέλο ασφάλειας που µελετούµε, οι Crackers έχουν ως σκοπό την εισβολή σε συστήµατα και την εξαπόλυση επιθέσεων υποκλοπής, εισαγωγής, διαγραφής και αλλοίωσης, µε απώτερο σκοπό το κέρδος, ή την καταξίωση στην κοινότητα των hackers. Οι δηµιουργοί των ιών (και γενικότερα κακόβουλου λογισµικού) µπορούν να θεωρηθούν ως crackers. Συχνά οι όροι hacker και cracker χρησιµοποιούνται αλληλένδετα. Επαγγελµατίες Εισβολείς (Career Criminals) Οι Επαγγελµατίες Εισβολείς (career criminals) συνδυάζουν συνήθως τη γνώση των hackers και τις ικανότητες ενός Κοινωνικού Μηχανικού (Social Engineer). Ένας Κοινωνικός Μηχανικός δεν επαφίεται µόνον στη γνώση της τεχνολογίας ούτε έχει ως αποκλειστικό στόχο µια συγκεκριµένη κατηγορία αγαθών (π.χ. εδοµένα, Λογισµικό, Υλικό, Γραµµές Επικοινωνίας). Στόχος της επίθεσης ενός Κοινωνικού Μηχανικού είναι ο άνθρωπος (π.χ. τεχνικές phishing). H λέξη «Επαγγελµατίας» προσδιορίζει και τον απώτερο σκοπό των επιθέσεων που εξαπολύονται, δηλαδή το κέρδος.. Στο µοντέλο του Anderson, η κατηγορία του επαγγελµατία εισβολέα, αντιστοιχεί µε τον χρήστη Bruno. Ο σχεδιασµός της Πολιτικής Ασφάλειας ενός Οργανισµού/Επιχείρησης οφείλει να λαµβάνει υπ όψιν τις απειλές που σχετίζονται µε την Κοινωνική Μηχανική Σηµείωση: Στο µοντέλο ασφάλειας του [Anderson 2001], Θεωρείται ότι ο Abdurrahman δεν είναι δυνατό να αντιµετωπιστεί από κανένα σύστηµα ασφάλειας. 16
1.4 Κρίσιµα Ερωτήµατα κατά το Σχεδιασµό της Ασφάλειας Α. Η προστασία θα επικεντρωθεί στα δεδοµένα, στις διαδικασίες, ή στους χρήστες; εδοµένα: Τεχνικές ελέγχου πρόσβασης (access control) µε τη χρήση εξειδικευµένων προγραµµάτων και εξοπλισµού ασφαλείας. ιαδικασίες: Η ασφάλεια επικεντρώνεται κυρίως στις διαδικασίες που ακολουθούνται (Organizational Security) και λιγότερο σε εξεζητηµένα τεχνολογικά µέσα. Για παράδειγµα, όταν οι χρήστες ταυτοποιούνται, η πολιτική ασφάλειας µπορεί να καθορίζει ότι κατά την ταυτοποίηση του χρήστη θα παρίσταται και ένα τρίτο εξουσιοδοτηµένο πρόσωπο (π.χ. προσωπικό ασφάλειας) ώστε, σε περίπτωση που το ηλεκτρονικό σύστηµα απορρίψει λανθασµένα (False Reject) την είσοδο στο σύστηµα, να ελέγχεται η ταυτότητα του ατόµου µε φυσικά µέσα. Συχνά οι διαδικασίες ασφάλειας περιγράφονται στα πλαίσια µιας Πολιτικής Ασφάλειας (Security Policy) και συµπληρώνονται ή/και υποβοηθούνται από τεχνολογικά µέσα. Χρήστες: ίνεται έµφαση στον ανθρώπινο παράγοντα, µε σκοπό τη γνώση για την αντιµετώπιση επιθέσεων κοινωνικής µηχανικής (π.χ. ενηµέρωση των χρηστών του συστήµατος για την προστασία τους από τεχνικές παραπλάνησης - phishing). Σηµείωση: Ένα ολοκληρωµένο σύστηµα ασφάλειας επικεντρώνεται εξίσου και στα τρεις κατηγορίες. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 37 B. Η προστασία θα επικεντρωθεί στην τεχνολογία, στις διαδικασίες, ή στους χρήστες; 17
Β. Σε ποιο επίπεδο θα εφαρµόσουµε µηχανισµούς ασφάλειας; Σε γενικές γραµµές, όσο πιο χαµηλό είναι το επίπεδο στο οποίο ενσωµατώνονται κάποιος µηχανισµός ασφάλειας, τόσο πιο δύσκολη είναι η παράκαµψη του. Για παράδειγµα, ξεκινώντας από τα χαµηλά επίπεδα, η κατηγοριοποίηση έχει ως εξής: Υλικό. Παράδειγµα αποτελούν οι «έξυπνες» κάρτες (tamper-resistant smartcards) οποιαδήποτε προσπάθεια µη εξουσιοδοτηµένης ανάγνωσης των περιεχοµένων της κάρτας έχει ως αποτέλεσµα την αυτόµατη διαγραφή των δεδοµένων της κάρτας. Τονίζεται πως η παράκαµψη ενός µηχανισµού ασφάλειας που εφαρµόζεται σε αυτό το επίπεδο, ενδεχοµένως απαιτεί επαρκείς γνώσεις τεχνολογιών υλικού και αρχιτεκτονικής Η/Υ, καθώς επίσης και εξοπλισµό (συνήθως) υψηλού κόστους. Λειτουργικό Σύστηµα (Λ.Σ.). Οι µηχανισµοί ασφάλειας εφαρµόζονται στο επίπεδο του Λ.Σ. Παράδειγµα αποτελεί ο καθορισµός δικαιωµάτων πρόσβασης (permissions) στα σύγχρονα Λ.Σ. (τύπου Unix και Windows), τα αρχεία καταγραφής (log files) στο Λ.Σ., η δηµιουργία Τοµέων (Domains) στο Λ.Σ. Windows 2000 κλπ. Λογισµικό Εφαρµογών. Οι µηχανισµοί ασφάλειας εφαρµόζονται σε επίπεδο εφαρµογών χρήστη. Παραδείγµατα αποτελούν οι εφαρµογές ασφαλούς ηλεκτρονικής αλληλογραφίας (π.χ. PGP), οι τεχνολογίες ασφαλών συναλλαγών µέσω του ιαδικτύου (π.χ. SSΗ), καθώς και εφαρµογές τύπου antivirus, προσωπικά firewalls, anti-spyware, Ανιχνευτές Ευπαθειών (Vulnerability Scanners), Συστήµατα Ελέγχου Εισβολών (IDS), εφαρµογές Καταγραφής και Ελέγχου (Logging and Audit systems), προστασία από παράνοµη αντιγραφή (π.χ. συστήµατα DRM) κ.λ.π εδοµένα. Στο επίπεδο αυτό εφαρµόζονται τεχνολογίες προστασίας ή κρυπτογράφησης των δεδοµένων, ανεξαρτήτως της εφαρµογής που τα δηµιουργεί ή διαχειρίζεται. Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 39 C. Σε ποιο επίπεδο θα ενσωµατώσουµε µηχανισµούς ασφάλειας; εδοµένα Λογισµικό Εφαρµογών Λειτουργικό Σύστηµα Υλικό 18
Γ. Θα δoθεί έµφαση στην πρόληψη (prevention), ανίχνευση (detection), ή ανάνηψη (recovery) από παραβίαση ασφάλειας; Οι πλέον σηµαντικές πρακτικές στην ασφάλεια Η/Υ επικεντρώνονται σε τρεις κατευθύνσεις: Πρόληψη. Στόχος είναι η αποτροπή µιας επίθεσης κατά των αγαθών του συστήµατος, πριν αυτή συµβεί. Για παράδειγµα, η χρήση µίας πόρτας ασφαλείας στοχεύει στο να αποτρέψει τη µη εξουσιοδοτηµένη είσοδο σε ένα χώρο. Αντίστοιχα, η χρήση ενός συστήµατος firewall σε ένα δίκτυο αποσκοπεί στο να αποτρέψει τη µη εξουσιοδοτηµένη είσοδο (έξοδο) πακέτων σε (από) ένα δίκτυο. Τεχνολογίες όπως Έλεγχος Πρόσβασης σε επίπεδο Λ.Σ., ταυτοποίηση χρηστών, κρυπτογράφηση, ασφάλεια εφαρµογών, συστήµατα antivirus, ανιχνευτές ευπαθειών (vulnerability scanners) χρησιµοποιούνται κατά κόρον για να αποτρέψουν κάθε πιθανή εισβολή. Ανίχνευση. Ανεξαρτήτως του είδους και της ποσότητας των µέτρων πρόληψης που θα υιοθετηθούν, κανένα σύστηµα δε µπορεί να είναι 100% ασφαλές. Στο σχεδιασµό ασφάλειας θα πρέπει λοιπόν να ενσωµατωθούν πρακτικές οι οποίες έχουν ως στόχο να ανιχνεύσουν µια εισβολή, όταν και εφόσον αυτή συµβεί. Τα συστήµατα συναγερµού (alarm systems) αποτελούν το πλέον χαρακτηριστικό παράδειγµα στη φυσική ασφάλεια συστηµάτων. Σε επίπεδο εφαρµογών, ενδιαφέρον παρουσιάζουν τα Συστήµατα Ανίχνευσης Εισβολής (Intrusion Detection Systems) και τα προγράµµατα καταγραφής συµβάντων (logging & audit systems). Με τη χρήση των συστηµάτων IDS, είναι επίσης δυνατόν να περιοριστεί (ή ακόµα και να εξαλειφθεί) ένα περιστατικό εισβολής εν τη γενέσει του, εφόσον το IDS συνεργάζεται, σε πραγµατικό χρόνο, µε προγράµµατα αποτροπής (π.χ. firewalls). Ανάνηψη-Επαναφορά. Τα µέτρα ανάνηψης είναι µέτρα προστασίας που στοχεύουν στο να µειώσουν τον απαιτούµενο χρόνο για την ανάκαµψη µετά από την εκδήλωση επίθεσης. Για παράδειγµα, η ασφαλιστική κάλυψη στοχεύει στο να αποκατασταθούν οι ζηµιές από µία ενδεχόµενη κλοπή ή φυσική καταστροφή. Αντίστοιχα η λήψη αντιγράφων ασφάλειας (backup) σε ένα υπολογιστικό σύστηµα στοχεύει να ελαχιστοποιήσει τις απώλειες και να επισπεύσει το χρόνο ανάκαµψης ενός συστήµατος από µία πιθανή διακοπή λειτουργίας. Η βιωσιµότητα (survivability) ή αλλιώς Συνέχιση Λειτουργίας (Continuity) ενός συστήµατος εξασφαλίζεται µε τεχνικές όπως: αυτόµατη λήψη (ή/και επαναφορά) Αντιγράφων Ασφαλείας (backup), εργαλεία αφαίρεσης κακόβουλου λογισµικού, συστήµατα Πλεονασµού (redundancy) και Ανοχής Λαθών (fault-tolerant systems) όπως συστοιχίες RAID, τεχνικές hot swapping, συστήµατα UPS, εφεδρικές γραµµές επικοινωνίας, τεχνικές load balancing κ.α. 19
Σχεδιάζοντας την ασφάλεια ; Κρίσιµες Ερωτήσεις 40 D. Θα δωθεί έµφαση στην πρόληψη (prevention), ανίχνευση (detection), ή ανάνηψη (recovery) από παραβίαση ασφάλειας; Κλείδωσε τα Παρακολούθησε τα Αν κλαπούν ή Αλλοιωθούν, Ανάκτησε τα Κόστος Ασφάλειας (Security Cost). Η οποιαδήποτε επιβάρυνση προκύπτει από τη χρήση ενός µέτρου προστασίας. Το κόστος µπορεί να αφορά την αγορά, εγκατάσταση και συντήρηση του µηχανισµού προστασίας, το λειτουργικό κόστος καθώς και τα κόστη εργασίας του εµπλεκόµενου προσωπικού.. Ασφάλεια εναντίον Λειτουργικότητας Είναι σαφές ότι όσο περισσότεροι και πολύπλοκοι είναι οι µηχανισµοί ασφάλειας που υιοθετούνται, τόσο λιγότερη είναι η λειτουργικότητα-ευελιξία για τους χρήστες και διαχειριστές του συστήµατος. Ένα ιδανικό σύστηµα π.χ. που θα απαιτούσε από τους χρήστες να παρέχουν, εκτός από τον κωδικό password, το δαχτυλικό τους αποτύπωµα καθώς και το αποτύπωµα της ίριδας τους, θα ήταν ιδιαίτερα ασφαλές, ωστόσο δε θα ήταν καθόλου λειτουργικό. Οι µηχανισµοί ασφάλειας που ενσωµατώνονταιυιοθετούνται κατά την κατάρτιση µιας Πολιτικής Ασφάλειας για την επιχείρηση/οργανισµό, θα πρέπει να λαµβάνουν υπ όψιν α) την αξία των αγαθών της επιχείρησης, β) το µοντέλο απειλών και γ) τη λειτουργικότητα και το µέγεθος των οικονοµικών πόρων που είµαστε διατεθειµένοι να καταναλώσουµε προκειµένου να επιτύχουµε ένα αποδεκτό επίπεδο προστασίας. Η χρυσή τοµή στο αντιστάθµισµα (trade-off) µεταξύ ασφάλειας και (λειτουργικότητας & κόστος), αποτελεί τη βέλτιστη λύση. Σηµείωση: Σε κάθε πληροφοριακό και δικτυακό σύστηµα, κατά τις διαδικασίες ανάπτυξης και συντήρησης του, θα πρέπει να πραγµατοποιείται µια Ανάλυση Επικινδυνότητας (Risk Analysis) µε σκοπό την επιλογή των µηχανισµών προστασίας που θα µειώσουν τους κινδύνους σε αποδεκτά για την επιχείρηση/οργανισµό επίπεδα. 20